Ao usar este site, você concorda com a Política de Privacidade e os Isenção de parceria e publicidade.
Accept
SempreUpdate SempreUpdate
  • Home
  • Notícias
  • Tutoriais
  • Android
  • Games
  • Contato
Buscar
  • Contact
  • Contact
  • Blog
  • Blog
  • Complaint
  • Complaint
  • Advertise
  • Advertise
© 2022 SempreUpdate - Todos os Direitos Reservados
Reading: Plugin Elementor Website Builder para WordPress apresenta falha crítica que pode afetar 500 mil sites
Share
Sign In
Notification Show More
Latest News
OpenSUSE Tumblewed deve finalmente encerrar o suporte ao ReiserFS
OpenSUSE Tumblewed deve finalmente encerrar o suporte ao ReiserFS
08/08/2022
NetBSD 9.3 lançado com melhor suporte para chipsets Intel e AMD mais recentes
NetBSD 9.3 lançado com melhor suporte para chipsets Intel e AMD mais recentes
08/08/2022
recurso-ditar-do-onenote-permitira-escrita-por-voz
Recurso Ditar do OneNote permitirá escrita por voz
07/08/2022
meta-descobre-novo-malware-para-android-usado-por-hackers-do-bitter-apt
Meta descobre novo malware para Android usado por hackers do APT
07/08/2022
Security Bug Bounty Program: como você pode ser pago encontrando bugs para o GitHub
Security Bug Bounty Program: como você pode ser pago encontrando bugs para o GitHub
05/08/2022
Aa
SempreUpdate SempreUpdate
Aa
  • Home
  • Notícias
  • Tutoriais
  • Android
  • Games
  • Contato
Buscar
  • Home
  • Notícias
  • Tutoriais
  • Android
  • Games
  • Contato
Have an existing account? Sign In
Siga-nos
  • Contact
  • Contact
  • Blog
  • Blog
  • Complaint
  • Complaint
  • Advertise
  • Advertise
© 2022 SempreUpdate - Todos os Direitos Reservados
SempreUpdate > Blog > Notícias > Plugin Elementor Website Builder para WordPress apresenta falha crítica que pode afetar 500 mil sites
Notícias

Plugin Elementor Website Builder para WordPress apresenta falha crítica que pode afetar 500 mil sites

Jardeson Márcio
Jardeson Márcio Published 14/04/2022
Last updated: 14/04/22 às 7:14 AM
Share
plugin-elementor-website-builder-para-wordpress-apresenta-falha-critica-que-pode-afetar-500-mil-sites
SHARE

Uma falha crítica no plugin Elementor WordPress pode afetar 500 mil sites. Os autores do plugin Elementor Website Builder para WordPress acabaram de lançar a versão 3.6.3 para resolver essa falha crítica de execução remota de código.

Embora a exploração da falha exija autenticação, sua gravidade crítica é dada pelo fato de que qualquer pessoa conectada ao site vulnerável pode explorá-la, incluindo assinantes regulares. Um agente de ameaças que cria uma conta de usuário normal em um site afetado pode alterar o nome e o tema do site afetado, tornando-o totalmente diferente. Os pesquisadores de segurança acreditam que um usuário não logado também pode explorar a falha corrigida recentemente no plug-in Elementor, mas não confirmaram esse cenário.

plugin-elementor-website-builder-para-wordpress-apresenta-falha-critica-que-pode-afetar-500-mil-sites

Detalhes da vulnerabilidade do Elementor WordPress

Em um relatório divulgado esta semana por pesquisadores do serviço de segurança WordPress “Vulnerabilidades de plug-in”, que encontraram a vulnerabilidade, descrevem os detalhes técnicos por trás do problema no Elementor.

O problema está na ausência de uma verificação de acesso crucial em um dos arquivos do plugin, “module.php”, que é carregado em todas as solicitações durante a ação admin_init , mesmo para usuários que não estão logados, explicam os pesquisadores. “A vulnerabilidade RCE que encontramos envolve a função upload_and_install_pro() acessível através da função anterior. Essa função instalará um plugin do WordPress enviado com a solicitação”, disse o “Vulnerabilidades de plug-in”.

Uma das funções acionadas pela ação admin_init permite o upload de arquivos na forma de um plugin WordPress. Um agente de ameaça pode colocar um arquivo malicioso lá para obter a execução remota de código.

plugin-elementor-website-builder-para-wordpress-apresenta-falha-critica-que-pode-afetar-500-mil-sites
Imagem: Reprodução | BleepingComputer

Os pesquisadores dizem que a única restrição em vigor é o acesso a um nonce válido. No entanto, eles descobriram que o nonce relevante está presente no “código-fonte das páginas de administração do WordPress que inicia ‘elementorCommonConfig’, que é incluído quando conectado como usuário com a função de assinante”.

Impacto e fixação

De acordo com o “Vulnerabilidades de plug-in“, o problema foi introduzido com o Elementor 3.6.0, lançado em 22 de março de 2022. As estatísticas do WordPress relatam que aproximadamente 30,7% dos usuários do Elementor atualizaram para a versão 3.6.x, o que indica que o número máximo de sites potencialmente afetados é de aproximadamente 1.500.000.

O plugin foi baixado um pouco mais de um milhão de vezes, aponta o BleepingComputer. Supondo que todos eles fossem para o 3.6.3, ainda deve haver cerca de 500.000 sites vulneráveis ??por aí. A versão mais recente inclui um commit que implementa uma verificação adicional no acesso nonce, usando a função “current_user_can” do WordPress.

Embora isso deva resolver o problema de segurança, os pesquisadores ainda não validaram a correção e a equipe da Elementor não publicou nenhum detalhe sobre o patch, aponta o BleepingComputer.

O “Vulnerabilidades de plug-in” também publicou uma prova de conceito (PoC) para provar a capacidade de exploração, aumentando o risco de sites vulneráveis ??serem comprometidos. Os administradores são aconselhados a aplicar a atualização mais recente disponível para o plug-in Elementor WordPress ou remover completamente o plug-in do seu site.

Via: BleepingComputer

Leia também

OpenSUSE Tumblewed deve finalmente encerrar o suporte ao ReiserFS

NetBSD 9.3 lançado com melhor suporte para chipsets Intel e AMD mais recentes

Recurso Ditar do OneNote permitirá escrita por voz

Meta descobre novo malware para Android usado por hackers do APT

Security Bug Bounty Program: como você pode ser pago encontrando bugs para o GitHub

TAGGED: Elementor Website Builder, falha crítica, Plugin Elementor, WordPress

Inscreva-se no boletim diário

Receba as últimas notícias de última hora diretamente na sua caixa de entrada.

Receba as novidades

Não se preocupe, não enviamos spam
Ao se inscrever, você concorda com nossos Termos de Uso e reconhece as práticas de dados em nossa Política de Privacidade. Você pode cancelar sua inscrição a qualquer momento.
Jardeson Márcio 14/04/2022
Share this Article
Facebook TwitterEmail Print
Share
Posted by Jardeson Márcio
Siga:
Jardeson é Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design gráfico. Economia, tecnologia e atualidade são focos de suas leituras diárias. Acredita que seu dia pode ser salvo por um vídeo engraçado.
Previous Article google-lanca-aplicativo-switch-to-android-que-facilita-a-migracao-de-dados-do-ios-para-o-android Google lança aplicativo Switch to Android, que facilita a migração de dados do iOS para o Android
Next Article quarta-vulnerabilidade-de-zero-dia-e-corrigida-no-google-chrome-este-ano Google Chrome e Chromium testam um back-end Qt

Permaneça conectado

8.7k Curta
4.5k Siga
3.1k Siga
3.4k Siga

Acabamos de publicar

OpenSUSE Tumblewed deve finalmente encerrar o suporte ao ReiserFS
OpenSUSE Tumblewed deve finalmente encerrar o suporte ao ReiserFS
Notícias
NetBSD 9.3 lançado com melhor suporte para chipsets Intel e AMD mais recentes
NetBSD 9.3 lançado com melhor suporte para chipsets Intel e AMD mais recentes
Notícias
recurso-ditar-do-onenote-permitira-escrita-por-voz
Recurso Ditar do OneNote permitirá escrita por voz
Tecnologia
meta-descobre-novo-malware-para-android-usado-por-hackers-do-bitter-apt
Meta descobre novo malware para Android usado por hackers do APT
Malwares

Você pode gostar também

vulnerabilidade-critica-que-afeta-o-componente-do-android-e-corrigida
Android

Vulnerabilidade crítica que afeta o componente do Android é corrigida

3 Min Read
cibercriminosos-vasculham-16-milhao-de-sites-wordpress-em-busca-de-plugin-vulneravel
WordPress

Cibercriminosos vasculham 1,6 milhão de sites WordPress em busca de plugin vulnerável

3 Min Read
wordpress-lanca-a-versao-de-manutencao-6-0-1-com-varias-correcoes-de-bugs
WordPress

WordPress lança a versão de manutenção 6.0.1 com várias correções de bugs

4 Min Read
mais-de-um-milhao-de-sites-wordpress-ficam-vulneraveis
WordPress

Mais de um milhão de sites WordPress ficam vulneráveis

3 Min Read
//

Nós influenciamos mais de 2 milhões de pessoas todos os meses. Levamos informação com isenção e responsabilidade.

Outros links

  • Isenção de responsabilidade da parceria e publicidade SempreUpdate
  • Política financiamento e publicidade do SempreUpdate
  • Política de Ética SempreUpdate
  • Política de Correções SempreUpdate
  • Política de verificação de fatos SempreUpdate

Sobre o SempreUpdate

SempreUpdate é um site sobre Linux composto por membros das comunidades Linux ou código aberto. Além de Linux, também falamos sobre conteúdo Geek, e outros assuntos relacionados a tecnologia.

SempreUpdate SempreUpdate
Siga-nos

© 2022 SempreUpdate - Todos Os Direitos Reservados

Removed from reading list

Undo
Bem vindo de volta!

Faça login em sua conta

Lost your password?