Un error crítico encontrado en un complemento de WordPress para Elementor con más de un millón de instalaciones

Se descubrió que un complemento de WordPress con más de un millón de instalaciones contiene una vulnerabilidad crítica que podría resultar en la ejecución de código arbitrario en sitios web comprometidos.

El complemento en cuestión esAddons for Elementor, que proporciona a los propietarios de sitios de WordPress una biblioteca de más de 80 elementos y extensiones para ayudar a diseñar y personalizar páginas y publicaciones.

«Esta vulnerabilidad permite que cualquier usuario, independientemente de su estado de autenticación o autorización, realice un ataque de inclusión de archivos local», Patchstack ha informado  «Este ataque se puede usar para incluir archivos locales en el sistema de archivos del sitio web, como /etc/passwd. Esto también se puede usar para realizar RCE al incluir un archivo con código PHP malicioso que normalmente no se puede ejecutar».

Dicho esto, la vulnerabilidad solo existe si se utilizan widgets como la galería dinámica y la galería de productos, que utilizan la función vulnerable, lo que resulta en la inclusión de archivos locales, una técnica de ataque en la que se engaña a una aplicación web para que exponga o ejecute archivos arbitrarios en el servidor web.

Más artículos
Disney y Tencent anuncian que se está trabajando en un MMO de avatar móvil