Kritieke RCE-fout gemeld in WordPress Elementor Website Builder-plug-in

WordPress Elementor Website Builder-plug-in Nachrichten

Elementor, een plug-in voor het bouwen van WordPress-websites met meer dan vijf miljoen actieve installaties, is kwetsbaar gebleken voor een geverifieerde fout bij het uitvoeren van externe code die kan worden misbruikt om getroffen websites over te nemen.

Plugin-kwetsbaarheden, die onthuld de fout vorige week, zei dat de bug was geïntroduceerd in versie 3.6.0 die op 22 maart 2022 werd uitgebracht 37% van de gebruikers van de plug-in bevinden zich op versie 3.6.x.

„Dat betekent dat kwaadaardige code die door de aanvaller wordt aangeleverd, door de website kan worden uitgevoerd“, aldus de onderzoekers. „In dit geval is het mogelijk dat het beveiligingslek misbruikt kan worden door iemand die niet is ingelogd bij WordPress, maar het kan gemakkelijk worden misbruikt door iedereen die is aangemeld bij WordPress en toegang heeft tot het WordPress-beheerdashboard.“

In een notendop, het probleem heeft betrekking op een geval van willekeurige bestandsupload naar getroffen websites, wat mogelijk kan leiden tot uitvoering van code.

WordPress Elementor Website Builder-plug-in

De bug is verholpen in de nieuwste versie van Elementor, met Patchstack opmerkend dat „door deze kwetsbaarheid elke geverifieerde gebruiker, ongeacht zijn of haar autorisatie, de sitetitel, het sitelogo, het thema naar het thema van Elementor kan wijzigen en, in het ergste geval, willekeurige bestanden naar de site kan uploaden.“

De onthulling komt meer dan twee maanden nadat werd ontdekt dat Essential Addons for Elementor een kritieke kwetsbaarheid bevat die kan leiden tot de uitvoering van willekeurige code op gecompromitteerde websites.

David
Rate author
Hackarizona