WordPress: nuova vulnerabilità in Elementor

Giusto qualche mese fa avevamo parlato di una grossa vulnerabilità riscontrata in un componente del noto plugin Elementor. Questo strumento, installato su milioni di siti WordPress, consente la creazione di pagine e temi in modo semplificato anche rispetto agli strumenti di default del noto CMS.

È di pochi giorni fa la notizia di una nuova vulnerabilità presente sempre su Elementor, che permetterebbe ad agenti malevoli di eseguire codice remoto assumendo, di fatto, il controllo dell’intero sistema. Se nello scorso caso ad essere colpito era stato Essential Addons, un tool di supporto di Elementor, stavolta è proprio il plugin principale ad aver fatto riscontrare la falla e ciò mette in pericolo ancora più piattaforme.

All’interno del plugin è stato trovato un file .php contenente una funzione che, erroneamente, consentiva di caricare file sul sito. Se la falla fosse stata correttamente sfruttata, sarebbe stato possibile caricare il file che consentiva l’esecuzione di codice malevolo. Oltretutto, per poter sfruttare il problema era sufficiente avere accessi utente al sito, quindi nessun privilegio da admin.

Gli analisti hanno scoperto che questa problematica è presente nel plugin sin dalla versione 3.6 rilasciata nel marzo scorso, installata dal 30% circa degli utilizzatori di Elementor. Ciò considerato, il numero di siti in pericolo si aggira intorno al milione e mezzo. Dopo il rilascio della patch di aggiornamento già un milione di utenti ha effettuato l’installazione dei pacchetti mentre gli altri restano ancora scoperti ed in pericolo. Dal numero di download ai quali hanno assistito gli sviluppatori negli ultimi giorni è probabile che a breve tanti fixeranno il bug.

Ciò che però fa impressione è la grandissima quantità di utenti Elementor che, con grossa disattenzione, sta utilizzando versioni molto vecchie. Tutte le versioni “antiche” di un plugin rappresentano un enorme rischio per la sicurezza dei siti che le utilizzano, e considerando che per quel che riguarda Elementor questo numero ammonta a circa tre milioni e mezzo di siti c’è di che preoccuparsi.

 

Fonte: 1