Um plugin do WordPress Elementor Pro manteve-se sob ataque ativo. Com a versão 3.11.7 do plugin WordPress Elementor Pro, os desenvolvedores corrigiram uma vulnerabilidade crítica que permite que invasores executem o WordPress como administrador.
Plugin WordPress Elementor Pro
Com a combinação do Elementor Pro e do plugin WooCommerce em execução no site, é possível para qualquer usuário autenticado, por exemplo, na função de “assinante” ou “cliente”, atualizar quaisquer configurações do WordPress no site, os descobridores do gap share do fornecedor de segurança Patchstack.
O responsável pela lacuna é uma ação AJAX do Elementor Pro que não possui controles de autorização adequados. As versões 3.11.6 e anteriores do Elementor Pro são afetadas por esta vulnerabilidade. Apesar de termos uma versão bem mais recente, a versão 3.11.7 é onde a falha foi corrigida pela empresa.
Notícias Relacionadas
Saiba tudo
Signal minimiza falha na chave de criptografia e a corrige!
O Signal está finalmente reforçando a segurança do seu cliente de desktop, mudando a forma como armazena chaves de criptografia de texto simples para o armazenamento de dados, após minimizar o problema desde 2018. Chave de criptografia Signal Quando o Signal Desktop para Windows ou Mac é instalado, ele cria um banco de dados SQLite […]
Alerta
AlmaLinux 9 Lança Patch OpenSSH para CVE-2024-6409
O AlmaLinux 9 acaba de lançar um importante patch de segurança para o OpenSSH, visando corrigir a vulnerabilidade CVE-2024-6409. Este patch é crucial para garantir a segurança das operações de TI que dependem do OpenSSH para conexões seguras. Vamos explorar os detalhes desta atualização e entender sua importância. Entendendo a Vulnerabilidade CVE-2024-6409 A CVE-2024-6409 é […]
A falta de controle permite que um invasor mal-intencionado habilite a página de registro, se estiver desabilitada, e defina a função de usuário padrão como Administrador, permitindo que eles criem uma conta com privilégios administrativos.
Depois disso, é provável que ele redirecione o site para um domínio malicioso ou execute outras ações maliciosas, como instalar um plug-in malicioso ou um backdoor para explorar ainda mais o site.
Elementor Pro 3.11.7 resolve o problema
O recém-lançado Elementor Pro 3.11.7 corrige o problema. Como a vulnerabilidade já está sendo explorada ativamente, uma atualização rápida é necessária, afirma Patchstack em sua contribuição para a vulnerabilidade. Então, se o seu plugin ainda estiver em uma versão anterior a essa, você precisa executar a atualização agora mesmo no seu Linux.
Duas novas atualizações já estão disponíveis. A última o Elementor Pro 3.12.1 traz:
- Correção: as cores de fundo padrão são apresentadas como transparentes no Pop-up;
- Correção: revertido o ajuste do recurso de envio de formulário mesclado à versão;
- Correção: a área suspensa não está fechando ao passar o mouse fora da área de conteúdo no widget Menu.
Reforçamos que o plugin seja atualizado o quanto antes, já que a segurança está comprometida em versões anteriores à versão do Elementor Pro 3.11.7. Com a correção, o WordPress Elementor Pro parece seguro novamente.
A cada nova atualização, quanto mais rápida for instalada, mas seguro ficam os usuários, já que muitas atualizações trazem correções de bugs e falhas de segurança que podem levar ao controle de contas por parte de agentes mal intencionados que podem assumir o controle e bloquear o seu acesso.
Esperamos que novas falhas não surjam nessas novas atualizações.
