fbpx

Falha crítica de Segurança no Elementor 3.6.3

erro no elementor
Compartilhar no whatsapp
Compartilhar no telegram
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no facebook
Compartilhar no pinterest
Compartilhar no email
Compartilhar no reddit

A Elementor corrigiu uma vulnerabilidade crítica de Execução Remota de Código que foi descoberta pelo analista de ameaças Ramuel Gall da Wordfence em 29 de março de 2022. A Wordfence divulgou a vulnerabilidade para a Elementor por meio de seu endereço de e-mail oficial de contato de segurança, mas não recebeu uma resposta oportuna. Em 11 de abril de 2022, o Wordfence divulgou a vulnerabilidade para a equipe de plugins do WordPress. A Elementor lançou um patch na versão 3.6.3 em 12 de abril de 2022.

O Wordfence descreveu a vulnerabilidade como “Controle de acesso insuficiente levando à execução de código remoto + Assinante”. Ele recebeu uma pontuação CVSS (Common Vulnerability Scoring System) de 9,9 (Crítico). A vulnerabilidade afeta o novo módulo de integração do Elementor, introduzido recentemente na versão 3.6.0.

O Wordfence publicou uma explicação técnica de como um invasor pode obter acesso não autorizado:

Infelizmente, nenhuma verificação de capacidade foi usada nas versões vulneráveis. Existem várias maneiras de um usuário autenticado obter o Ajax::NONCE_KEY, mas uma das maneiras mais simples é visualizar a fonte do painel de administração como um usuário logado, pois está presente para todos os usuários autenticados, mesmo para usuários de nível de assinante.

O Elementor está instalado em mais de cinco milhões de sites WordPress, mas essa vulnerabilidade específica afeta as versões 3.6.0 – 3.6.2. No máximo, isso afetaria cerca de 34% dos usuários, de acordo com as estatísticas das versões ativas atuais do plug-in. Agora que a vulnerabilidade é pública, os usuários do Elementor são aconselhados a atualizar imediatamente para a versão 3.6.3 ou posterior. Uma correção de segurança relacionada é empacotada com a versão 3.6.4, de acordo com o changelog do plug-in: “Correção: sanitização de controles otimizados para aplicar melhores políticas de segurança no assistente de integração”.

Importante informar que esta atualização não afeta diretamente o plugin Elementor PRO. Se você não conhece o Elementor, descubra se o Elementor PRO vale a pena para o seu site ou se a versão gratuita atende bem a sua necessidade.

Fellipe Soares

Graduado em Análise e Desenvolvimentos de Sistemas, ajuda empresas e profissionais liberais na criação de soluções com WordPress desde 2011.

Facebook | Instagram | LinkedIn | Blog

Deixe um comentário

O seu endereço de e-mail não será publicado.

Ei!!! Fuja de licenças piratas!

Adquira uma licença original do Elementor PRO e fique em paz com a segurança do seu site!