Uma falha de segurança foi identificada no plugin Essential Addons for Elementor, recurso muito popular na plataforma WordPress usado em mais de um milhão de sites. A vulnerabilidade ocorre nas versões 5.0.4 e anteriores do software, e permite que usuários não autenticados executem código no site. O problema foi corrigido na versão 5.0.5, já disponível para atualização.
A vulnerabilidade foi descoberta há uma semana — em 25 de janeiro — por Wai Yan Myo Thet, pesquisador do PatchStack. Segundo ele, o desenvolvedor do Essential Addons for Elementor já sabia da falha de segurança na época, e chegou a lançar uma versão para resolver o problema.
Exemplo de código que permite a falhaFonte: Patch Stack/Reprodução
Entretanto, o criador do programa não conseguiu solucionar a falha e adicionou novas funções para impedir a vulnerabilidade no patch 5.0.4, mas o plugin só recebeu um update efetivo com a versão mais recente, lançada no dia 28 de janeiro.
Execução de código malicioso
A falha permite que qualquer usuário, independentemente de seu status de autenticação ou autorização, execute um ataque de inclusão de arquivo local. Este ataque pode ser usado para incluir arquivos locais no sistema do site ou adicionar arquivos com código PHP malicioso. Segundo estimativas do Bleeping Computer, mais de 600 mil sites ainda não aplicaram a atualização de segurança da vulnerabilidade.
Usuários que utilizam o plugin Essential Addons for Elementor podem obter a versão mais recente do software neste link ou atualizar diretamente no painel do WordPress.
Fontes