Malas noticias para los millones de personas que utilizan WordPress. Se ha descubierto una seria vulnerabilidad en el plugin Essential Addons for Elementor, el cual se trata de una de las instalaciones más habituales entre quienes utilizan esta plataforma.
Por suerte, el equipo responsable del plugin ya ha anunciado que han solucionado el problema y que han parcheado la herramienta para que no produzca más errores. La vulnerabilidad descubierta indicaba que permitía a los hackers utilizar código malicioso en páginas que utilizasen el plugin y WordPress. Por lo que se menciona, los atacantes tenían la posibilidad de hacer un ataque Local File Inclusion, un exploit que habilita la capacidad para que, desde la instalación de WordPress, se obtenga información muy sensible acerca de la página. Con este exploit los hackers también podían leer algunos archivos arbitrarios.
El problema, y lo que de verdad hizo que saltasen las alarmas, era que ese ataque y vulnerabilidad solo era el primer paso de algo más problemático. Según los informes, y tal y como mencionábamos antes, después del ataque inicial, los hackers tenían la posibilidad de llevar a cabo una RCE, una ejecución de código remota.
Con esa acción de ejecución de código remoto, los hackers podían comprometer la seguridad de las páginas de manera grave a distintos niveles, llegando incluso a tener la capacidad de tomar el control sobre la web en sí misma.
El motivo por el que pasó todo esto es porque el plugin de Elementor, no estaba actuando de manera conveniente en lo relacionado con la limpieza de datos. Dejaba agujeros que podrían ser aprovechados si los hackers con malas intenciones los descubrían. Y, por desgracia, fue algo que pasó. Para no exponerse a este problema, lo que tienen que hacer los propietarios de webs con WordPress y Elementor, es actualizar a la versión 5.0.5 del plugin.