fbpx

Problema crítico de Segurança no Essential Addons for Elementor

segurança essential addons for elementor
Compartilhar no whatsapp
Compartilhar no telegram
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no facebook
Compartilhar no pinterest
Compartilhar no email
Compartilhar no reddit

Essential Addons for Elementor, um plugin popular com mais de um milhão de instalações ativas, corrigiu uma vulnerabilidade crítica que permitiria um ataque de inclusão de arquivo local.

A vulnerabilidade foi descoberta pelo pesquisador de segurança Wai Yan Myo Thet e relatada ao Patchstack em 25 de janeiro de 2022. Os clientes do Patchstack receberam um patch virtual no mesmo dia. O problema já era conhecido pelos desenvolvedores do plugin, WPDeveloper, que emitiram dois patches insuficientes antes de ser corrigido na versão 5.0.5.

Seja notificado de falhas de segurança em plugins e temas do WordPress por E-mail.

O Patchstack publicou um resumo da vulnerabilidade e explicou como os sites WordPress que usam o plug-in podem ser comprometidos:

Essa vulnerabilidade permite que qualquer usuário, independentemente de seu status de autenticação ou autorização, execute um ataque de inclusão de arquivo local. Este ataque pode ser usado para incluir arquivos locais no sistema de arquivos do site, como /etc/passwd. Isso também pode ser usado para executar RCE incluindo um arquivo com código PHP malicioso que normalmente não pode ser executado.

É importante observar que a vulnerabilidade afeta principalmente os usuários que têm a galeria dinâmica e os widgets da galeria de produtos em uso.

O changelog do plugin faz com que a atualização pareça mais um aprimoramento do que uma séria preocupação de segurança, então os usuários podem não estar totalmente cientes de que precisam atualizar:


5.0.5 – 28/01/2022
Improved: Enhanced Security to prevent inclusion of unwanted file form remote server through ajax request

5.0.4 – 27/01/2022
Improved: Sanitized template file paths for Security Enhancement
Added: Support for new Capability Queries for WordPress 5.9
Fixed: Elementor Popups not being triggered
Few minor bug fixes & improvements

Todas as versões anteriores à 5.0.5 são consideradas vulneráveis. As estatísticas do WordPress.org não dividem as instalações ativas de acordo com versões secundárias, mas aproximadamente 54% dos usuários do plugin estão executando versões anteriores à 5.0.

Conteúdo original no WPTavern. Traduzido livremente.

Se deseja evitar preocupações relacionadas a estes temas, consulte nossos planos de manutenção WordPress.

Fellipe Soares

Graduado em Análise e Desenvolvimentos de Sistemas, ajuda empresas e profissionais liberais na criação de soluções com WordPress desde 2011.

Facebook | Instagram | LinkedIn | Blog

Deixe um comentário

O seu endereço de e-mail não será publicado.

Ei!!! Fuja de licenças piratas!

Adquira uma licença original do Elementor PRO e fique em paz com a segurança do seu site!