Plugin do WordPress em um milhão de sites possui vulnerabilidade grave

Se utiliza o WordPress com o Elementor, existe uma forte possibilidade de ter instalado o plugin “Essential Addons for Elementor”. Este é uma das extensões mais populares, estando atualmente instalada em mais de um milhão de sites.

No entanto, foi recentemente descoberta uma vulnerabilidade critica sobre o mesmo, que pode permitir a execução remota de código nos websites afetados. Esta falha afeta as versões do “Essential Addons for Elementor” da 5.0.4 ou anteriores.

A falha pode permitir que os atacantes enviem ficheiros, sem autenticação, para o sistema onde o website se encontra, abrindo a possibilidade de serem realizados os mais variados ataques. Como exemplo, os atacantes podem enviar um ficheiro de “shell”, que permite aceder aos conteúdos do sistema onde o site se encontra, e obter praticamente acesso a toda a informação do site.

Quando esta falha foi inicialmente descoberta, a 25 de Janeiro de 2022, a mesma já era conhecida pelo criador do plugin nesta altura. Na verdade, o mesmo teria lançado a versão 5.0.3 como forma de tentar corrigir o problema,mas sem sucesso.

Pouco tempo depois, o autor do plugin lançou a versão 5.0.4, que também prometia resolver o problema, mas novamente o patch não teria solucionado todo o problema. Apenas na versão 5.0.5 é que a falha foi efetivamente corrigida.

Esta versão mais recente foi disponibilizada durante o passado dia 28 de Janeiro de 2022, sendo atualmente a disponível para atualização. Será recomendado que todos os utilizadores que façam uso deste plugin atualizem as suas instalações o quanto antes, devido à possibilidade da falha ser, em breve, explorada de forma massiva pela internet.