Royal Elementor: 11 vulnerabilidades corrigidas, atualize agora o plugin WordPress!

royal-elementor-11-vulnerabilidades-corrigidas

O Royal Elementor Addons recebeu uma notificação do time do Wordfence Threat Intelligence, sobre 11 vulnerabilidades presentes neste plugin para WordPress. A notificação oficial foi feita em 23 de dezembro de 2022 pelo Wordfence. O aviso com a necessidade de correções foi considerado urgente tendo em vista que o plugin Royal Elementor Addons está instalado em mais de 100 mil sites.

Segundo informações confirmadas pelo time do Wordfence Threat Intelligence, a empresa desenvolvedora do plugin só respondeu ao e-mail do Wordfence no dia 26 de dezembro de 2022. E assim, no mesmo dia, o time Wordfence enviou um relatório detalhado revelando todos os 11 pontos vulneráveis do plugin.

Sobre as 11 vulnerabilidades do plugin Royal Elementor Addons

Ainda segundo o time do Wordfence, nenhuma das vulnerabilidades foram consideradas críticas. Mas muitas destas poderiam ser utilizadas para uma possível autenticação por qualquer usuário a ponto de conseguirem alterar qualquer conteúdo.

Além disso, com este acesso, também deveria ser possível desativar plugins ou derrubar o site temporariamente em determinada situações. Como destaque, o Wordfence disse que uma das vulnerabilidades que estavam presentes antes da correção seria a Reflected Cross-Site Scripting.

O Reflected Cross-Site Scripting permite que qualquer pessoa assuma o controle total do site e poderia induzir um administrador a executar uma ação, como clicar em um link.

O que o Wordfence fez diante disso?

O Wordfence ao tomar conhecimento das 11 vulnerabilidades do plugin lançou uma regra em seu Firewall para proteger todos os seus clientes Wordfence Premium, Care e Response no mesmo dia 23 de dezembro. Como regra comercial, os sites que executam o Wordfence gratuito vão receber a correção com 30 dias posteriores, ou seja, em 23 de janeiro de 2023.

Todas as versões anteriores ou iguais ao Royal Elementor Addons 1.3.59 estão vulneráveis, e a versão 1.3.60 do plugin ou superior já contam com as correções necessárias, atualize já suas instalações WordPress.

Detalhes da vulnerabilidade do Royal Elementor Addons

DescriçãoInsufficient Access Control to Theme Activation
Plugin afetado: Royal Elementor Addons
Plugin Slug: royal-elementor-addons
Versões afetadas: <= 1.3.59
CVE ID: CVE-2022-4700
Pontuação CVSS: 5,4 (Média)
Vetor CVSS: CVSS: 3.1/AV:N/AC:L/PR:L/UI:N/ S:U/C:N/I:L/A:L
Pesquisador(es ): Ramuel Gall
Versão totalmente corrigida: 1.3.60

Descrição: Insufficient Access Control to Plugin Deactivation
afetado: Royal Elementor Addons
Plug-in Slug: royal-elementor-addons
Versões afetadas: <= 1.3.59
CVE ID: CVE-2022-4702
Pontuação CVSS: 5,4 (médio)
CVSS Vector: CVSS: 3.1/AV:N/AC:L/PR:L/UI:N/ S:U/C:N/I:L/A:L
Pesquisador(es ): Ramuel Gall
Versão totalmente corrigida: 1.3.60

Descrição:  Insufficient Access Control to Template Import
Plugin afetado: Plugin de complementos Royal Elementor
Slug: royal-elementor-addons
Versões afetadas: <= 1.3.59
CVE ID: CVE-2022-4704
Pontuação CVSS: 5,4 (Média)
Vetor CVSS: CVSS: 3.1/AV:N/AC:L/PR:L/UI:N/ S:U/C:N/I:L/A:L
Pesquisador(es ): Ramuel Gall
Versão totalmente corrigida: 1.3.60

Descrição:  Insufficient Access Control to Plugin Activation
afetado: Royal Elementor Addons
Plug-in Slug: royal-elementor-addons
Versões afetadas: <= 1.3.59
CVE ID: CVE-2022-4701
Pontuação CVSS: 4,3 (baixo)
Vetor CVSS: CVSS: 3.1/AV:N/AC:L/PR:L/UI:N/ S:U/C:N/I:L/A:N
Pesquisador(es ): Ramuel Gall
Versão totalmente corrigida: 1.3.60

Descrição: Insufficient Access Control to Import Deletion
in afetado: Plug-in de complementos Royal Elementor
Slug: royal-elementor-addons
Versões afetadas: <= 1.3.59
ID CVE: CVE-2022-4703
Pontuação CVSS: 4,3 (baixo)
Vetor CVSS: CVSS: 3.1/AV:N/AC:L/PR:L/UI:N/ S:U/C:N/I:N/A:L
Pesquisador(es ): Ramuel Gall
Versão totalmente corrigida: 1.3.60

Descrição: Insufficient Access Control to Template Activation
in afetado: Plug-in de complementos Royal Elementor
Slug: royal-elementor-addons
Versões afetadas: <= 1.3.59
ID CVE: CVE-2022-4705
Pontuação CVSS: 4,3 (baixo)
Vetor CVSS: CVSS: 3.1/AV:N/AC:L/PR:L/UI:N/ S:U/C:N/I:L/A:N
Pesquisador(es ): Ramuel Gall
Versão totalmente corrigida: 1.3.60

Descrição: Insufficient Access Control to Menu Settings Update
Plug-in afetado: Royal Elementor Addons
Plug-in Slug: royal-elementor-addons
Versões afetadas: <= 1.3.59
CVE ID: CVE-2022-4711
Pontuação CVSS: 4,3 (baixo)
CVSS Vector: CVSS :3.1/AV:N/AC:L/PR:L/UI:N/ S:U/C:N/I:L/A:N
Pesquisador(es ): Ramuel Gall
Versão totalmente corrigida: 1.3.60

Descrição:  Insufficient Access Control to Template Conditions Modification
in afetado: Plug-in de complementos Royal Elementor
Slug: royal-elementor-addons
Versões afetadas: <= 1.3.59
ID CVE: CVE-2022-4708
Pontuação CVSS: 4,3 (baixo)
Vetor CVSS: CVSS :3.1/AV:N/AC:L/PR:L/UI:N/ S:U/C:N/I:L/A:N
Pesquisador(es ): Ramuel Gall
Versão totalmente corrigida: 1.3.60

Descrição: Insufficient Access Control to Template Kit Import
Plugin afetado: Plugin de complementos Royal Elementor
Slug: royal-elementor-addons
Versões afetadas: <= 1.3.59
CVE ID: CVE-2022-4709
Pontuação CVSS: 4,3 (baixo)
Vetor CVSS: CVSS :3.1/AV:N/AC:L/PR:L/UI:N/ S:U/C:N/I:L/A:N
Pesquisador(es ): Ramuel Gall
Versão totalmente corrigida: 1.3.60

Descrição: Cross-Site Request Forgery to Menu Template creation
in afetado: plug-in de complementos Royal Elementor
Slug: royal-elementor-addons
Versões afetadas: <= 1.3.59
CVE ID: CVE-2022-4707
Pontuação CVSS: 4,3 (baixo)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/ S:U/C:N/I:L/A:N
Pesquisador(es ): Ramuel Gall
Versão totalmente corrigida: 1.3.60

Descrição: Reflected Cross-Site Scripting
Plugin afetado: Royal Elementor Addons
Plugin Slug: royal-elementor-addons
Versões afetadas: <= 1.3.59
CVE ID: CVE-2022-4710
Pontuação CVSS: 6.1 (Média)
Vetor CVSS: CVSS: 3.1 /AV:N/AC:L/PR:N/UI:R/ S:C/C:L/I:L/A:N
Pesquisador(es ): Ramuel Gall
Versão totalmente corrigida: 1.3.60

Para mais detalhes sobre esse conjunto de vulnerabilidades consulte o Blog do Wordfence.