Uma vulnerabilidade de alta severidade no plugin do WordPress Elementor Pro está sendo utilizada ativamente por cibercriminosos para atacar sites. O Elementor Pro é um plugin usado para criar e projetar sites de alta qualidade sem a necessidade de conhecimento em programação. Este plugin é amplamente usado para criar lojas on-line e já foi baixado mais de 11 milhões de vezes.
A vulnerabilidade que está sendo explorada afeta a versão 3.11.6 e anteriores e permite que um invasor que tenha obtido autenticação possa modificar a configuração do site e até mesmo assumir o controle total da página na qual o WooComerce tenha sido instalado.
É importante destacar que atualmente já está disponível uma versão do plugin que corrige a falha e impede a exploração da vulnerabilidade. Os criadores do plugin explicaram que "foram feitas melhorias na segurança do código nos componentes do WooCommerce".
A vulnerabilidade recebeu uma pontuação de 8,8 em 10 na escala de severidade do CVSS e foi descoberta pelo pesquisador Jerome Bruandet da NinTechNet, que destacou detalhes técnicos da falha em uma publicação no dia 28 de março.
Quando o Elementor Pro é instalado em um site que conta com o WooCommerce instalado, ele carrega um componente que registra uma série de ações AJAX usadas pelo plugin para criar páginas. Uma destas ações chama uma função que permite modificar as opções do banco de dados do WordPress, mas esta ação do Elementor Pro não tinha os devidos controles de privilégios. Portanto, caso um cibercriminoso obtenha permissões de autenticação, ele pode explorar a vulnerabilidade para criar contas de administrador e executar uma variedade de ações maliciosas, desde modificar o endereço de e-mail do administrador, redirecionar o tráfego para outro site, ou mesmo fazer upload de um backdoor para executar outras ações criminosas a partir do site atacado.
Embora, como destacamos anteriormente, já estão disponíveis novas versões do Elementor Pro que corrigem a falha, no momento da descoberta foram detectadas tentativas de exploração desta vulnerabilidade a partir de uma variedade de endereços IP, alguns dos quais estavam tentando carregar arquivos compactados para os sites atacados. Os administradores de sites que usam este plugin devem atualizá-lo para a versão mais recente o mais rápido possível.
Esta falha não só nos lembra a importância de manter atualizadas as diferentes tecnologias usadas por uma empresa, a fim de garantir a proteção e, desta forma, minimizar os riscos de possíveis incidentes de segurança, mas também para que a gestão de segurança de uma empresa não termina com ações internas e que é necessário dar atenção aos terceiros envolvidos nestes processos, seja um prestador de serviços como uma funcionalidade importante para o negócio, como é neste caso um plugin.
Veja mais: Como os cibercriminosos utilizam sites comprometidos para realizar novos ataques