Una vulnerabilidad de alta severidad en el plugin para WordPress Elementor Pro está siendo utilizada por cibercriminales activamente para comprometer sitios web. Elementor Pro es un plugin para crear y diseñar sitios web de alta calidad sin necesidad de tener conocimientos de código. Es muy utilizado para crear tiendas online y ha sido descargado más de 11 millones de veces.
La vulnerabilidad que está siendo explotada afecta a la versión 3.11.6 y anteriores y permite a un atacante que haya obtenido autenticación modificar la configuración del sitio e incluso tomar control total del sitio en el que ha sido instalado WooComerce.
Es importante aclarar que ya está disponible una versión del plugin que corrige el fallo y que impide la exploración del mismo. Según explicaron en el sitio web los creadores del plugin, “se realizaron mejoras en la seguridad del código en componentes de WooCommerce”.
La vulnerabilidad recibió un puntaje de 8.8 sobre 10 en la escala de severidad CVSS y fue descubierta por el investigador Jerome Bruandet de NinTechNet, quien compartió detalles técnicos de este fallo en una publicación del 28 de marzo.
Según se explica, cuando se instala Elementor Pro en un sitio que tiene instalado WooCommerce, el plugin carga un componente que registra una serie de acciones AJAX utilizadas por el plugin para crear páginas. Una de estas acciones llama a una función que permite modificar opciones de la base de datos de WordPress, pero esta acción de Elementor Pro no tenía los debidos controles de privilegios. Por lo tanto, un atacante que haya obtenido permisos de autenticación podría explotar la vulnerabilidad para crear cuentas de administrador y realizar diversas acciones maliciosas, que van desde modificar la dirección de correo del administrador, redirigir el tráfico a otro sitio o incluso subir un backdoor para realizar otras acciones maliciosas desde el sitio comprometido.
Si bien como dijimos anteriormente ya están disponibles versiones más recientes de Elementor Pro que corrige el fallo, al momento del hallazgo se detectaron intentos de explotación de esta vulnerabilidad de diversas direcciones IP, algunas de las cuales intentaban subir archivos comprimidos a los sitios comprometidos. Por lo tanto, se recomienda a los propietarios de sitios que utilizan este plugin que actualicen lo antes posible a la última versión.
Este fallo no solo nos recuerda la importancia de mantener actualizadas las distintas tecnologías que utilice una empresa o negocio para mantenerse protegido y de esta manera minimizar los riesgos de posibles incidentes de seguridad, sino que la gestión de la seguridad de una empresa no termina en las acciones internas y que se debe contemplar a las terceras partes, ya sea un proveedor de servicios como una funcionalidad importante para el negocio, como es en este caso un plugin.
Lectura recomendada: 9 formas en que los atacantes utilizan los sitios web comprometidos