Falha no Elementor Pro para WordPress pode afetar milhões de sites

Falha no Elementor Pro para WordPress pode afetar milhões de sites

O Elementor Pro é um plugin para WordPress bastante usado para a construção de sites e páginas no mesmo, que atualmente conta com mais de 11 milhões de instalações. Como tal, qualquer falha no mesmo pode afetar um elevado número de utilizadores – e é exatamente isso que foi recentemente descoberto.

Um grupo de investigadores da empresa de segurança NinTechNet revelou ter descoberto uma falha sobre o plugin no passado dia 18 de Março de 2023. Se explorada, a falha pode permitir a utilizadores autenticados no site a realização de mudanças no mesmo, incluindo a de alterar o domínio associado à configuração do WordPress ou até ter total controlo do mesmo.

A falha afeta a versão 3.11.6 e todas as anteriores do plugin. Para ser explorada, no entanto, o site necessita de ter registos públicos, uma vez que apenas pode ser realizada através de utilizadores autenticados – mesmo que sejam apenas membros regulares.

A falha encontra-se associada com um módulo existente no plugin, e que permite a integração com o WooCommerce. O ficheiro possui uma falha que permite aos utilizadores autenticados sem permissões administrativas realizem ações na configuração do site.

É também importante ter em conta que, para a falha ser explorada, é necessário que o site WordPress tenha também o WooCommerce instalado, uma vez que apenas quando este se encontra presente o modulo passa a ficar ativo.

Algumas empresas de segurança indicam que a falha já se encontra a ser ativamente explorada, com o objetivo de redirecionar os utilizadores para sites diferentes e maliciosos, bem como para instalar conteúdos maliciosos no site que permitam o acesso futuro aos mesmos.

Os utilizadores que usem este plugin no WordPress devem atualizar para a versão 3.11.7 ou mais recente o quanto antes.