O Elementor, um popular construtor de páginas que funciona como um plugin do sistema WordPress, pode expor seus usuários a uma falha de segurança que permite que indivíduos mal-intencionados obtenham acesso a privilégios e até mesmo ao controle completo do site. A falha foi denunciada por pesquisadores da solução de segurança Patchstack.
Considerada como uma das plataformas líderes na construção de sites dentro do ecossistema WordPress, o Elementor possibilita a criação de páginas complexas sem codificação, utilizando modelos já prontos ou do zero e somente arrastando e soltando conteúdos. A velocidade das alterações, visíveis em tempo real, levaram a ferramenta a mais de um milhão de usuários ativos.
Segundo a empresa de pesquisa em tecnologia W3Techs, atualmente mais de 43% de todos os sites na internet utilizam o WordPress. Mais de 12 milhões deles, diz o Blog do Elementor, utilizam o construtor de páginas. Isso corresponde a 8% do tráfego global de sites, de acordo com a W3Techs.
Qual é a vulnerabilidade do Elementor?
O Elementor diz que mais de um milhão de sites ativos têm complementos essenciais para a ferramenta instalados.Fonte: WordPress/Reprodução
Conforme explicado pela Patchstack, a vulnerabilidade ocorre na função redefinição de senha que "não valida uma chave de redefinição de senha, mas, em vez disso, altera diretamente a senha do usuário fornecido”, o que inclui a conta do administrador. Isso significa deixar o site todo exposto — inclusive o back-end —, e, se um site de destino armazena informações do usuário, um provável hacker "também teria acesso e controle disso".
Naturalmente, assim que a Equipe Vermelha do Patchstack detectou a vulnerabilidade, ela foi imediatamente corrigida e todos os usuários do Essential Addons for Elementor chamados para atualizar para a versão 5.7.2 já disponível.
Como todas as versões anteriores do plug-in, desde a 5.4.0, foram afetadas pela falha, a recomendação é: atualize seu plug-in o mais rápido que puder.
Fontes