Uma falha de segurança de nível grave foi descoberta no plugin Essential Addons for Elementor, deixando milhares de sites em risco de invasões e ataques hackers.
A falha atinge o plugin Essential Addons for Elementor em sua versão 5.0.4 e nas versões anteriores.
Anteriormente o desenvolvedor já havia lançado diversos patches para tentar solucionar esse problema, porém, as versões anteriores não foram eficazes em proteger os sites afetados.
Por esse motivo, se você já atualizou antes, é importante verificar se a versão atual é a 5.0.5. Essa versão é a única que contém o patch de segurança que efetivamente corrige o problema e não permite a exploração da vulnerabilidade.
Segundo estimativas, mais de 600 mil sites ainda não atualizaram para a nova versão do Essential Addons for Elementor que inclui os patchs de correções definitivos para a falha de segurança.
A vulnerabilidade só pode ser explorada caso sejam usados os widgets galeria dinâmica ou galeria de produtos. Isso ocorre porque para explorar a falha é necessário informar o token nonce, que somente é gerado quando o usuário utiliza um dos elementos citados.
Execução de código malicioso
O problema ocorre porque o plugin Essential Addons for Elementor utiliza o comando “require” a partir de dados recebidos via Ajax, sem realizar qualquer tipo de validação.
Dessa forma, o atacante consegue realizar a execução remota de códigos e obtém controle total sobre o servidor. É muito provável que esta falha esteja sendo explorada por hackers através de bots.
Portanto, atualize seu site o mais rápido possível. E se notar qualquer sinal de invasão, deverá seguir os procedimentos básicos, como restaurar o backup para uma data anterior à invasão e redefinir as senhas de todos os usuários.
O pesquisador Wai Yan Myo Thet é o descobridor original da vulnerabilidade e relatou ao desenvolvedor do plugin para que corrigisse o problema.
Sobre o Essential Addons for Elementor
Essential Addons for Elementor é um plugin amplamente usado que fornece mais de 80 elementos e extensões para ajudar os administradores do WordPress a projetar páginas e postagens para seus sites. O plugin tem mais de um milhão de instalações ativas.
A ferramenta Patchstack, voltada a oferecer segurança para o WordPress, notou no dia 25/01/2022 que uma falha estava sendo explorada no Essential Addons for Elementor. Porém, acredita-se que a falha já vinha sendo explorada por hackers há algum tempo.