Se descubrió una vulnerabilidad en Elementor, a partir de la versión 3.6.0, que permite a un atacante cargar código arbitrario y realizar una toma de control completa del sitio. La falla se introdujo debido a la falta de políticas de seguridad adecuadas en una nueva función del asistente de «Incorporación».
Verificaciones de capacidad faltantes
La falla en Elementor estaba relacionada con lo que se conoce como Comprobaciones de capacidad.
Una verificación de capacidad es una capa de seguridad que todos los fabricantes de complementos están obligados a codificar. Lo que hace la verificación de capacidad es verificar qué nivel de permiso tiene cualquier usuario que haya iniciado sesión.
Por ejemplo, una persona con un permiso de nivel de suscriptor podría enviar comentarios a los artículos, pero no tendrá los niveles de permiso que le otorgan entrada a la pantalla de edición de WordPress para publicar publicaciones en el sitio.
Los roles de usuario pueden ser administrador, editor, suscriptor, etc. Cada nivel contiene capacidades de usuario que se asignan a cada rol de usuario.
Cuando un complemento ejecuta código, se supone que verifica si el usuario tiene la capacidad suficiente para ejecutar ese código.
WordPress publicó un Manual de complementos que aborda específicamente este importante control de seguridad.
El capitulo se llama Comprobación de las capacidades del usuario y describe lo que los fabricantes de complementos deben saber sobre este tipo de control de seguridad.
El manual de WordPress aconseja:
“Comprobación de las capacidades del usuario
Si su complemento permite a los usuarios enviar datos, ya sea en el lado del administrador o del lado público, debe verificar las capacidades del usuario.
…El camino más importante para crear una capa de seguridad eficiente es contar con un sistema de permisos de usuario. WordPress proporciona esto en forma de roles y capacidades de usuario”.
Elementor versión 3.6.0 introdujo un nuevo módulo (módulo de incorporación) que no pudo incluir comprobaciones de capacidades.
Entonces, el problema con Elementor no es que los piratas informáticos fueran inteligentes y descubrieran una forma de tomar el control del sitio completo de los sitios web basados en Elementor.
El exploit en Elementor se debió a que no se usaron las comprobaciones de capacidad donde se suponía que debían hacerlo.
Según el informe publicado por Wordfence:
“Desafortunadamente, no se utilizaron controles de capacidad en las versiones vulnerables.
Un atacante podría crear un complemento zip falso malicioso «Elementor Pro» y usar esta función para instalarlo.
Se ejecutaría cualquier código presente en el complemento falso, que podría usarse para controlar el sitio o aceptar a recursos adicionales en el servidor”.
Acción sugerida
La vulnerabilidad se introdujo en Elementor versión 3.6.0 y, por lo tanto, no existe en versiones anteriores a esa.
Wordfence recomienda que los editores actualicen a la versión 3.6.3.
Sin embargo, el funcionario Registro de cambios de Elementor establece que la versión 3.6.4 soluciona los problemas de desinfección relacionados con el módulo del asistente de incorporación afectado.
Entonces, probablemente sea una buena idea actualizar a Elementor 3.6.4.
Captura de pantalla del registro de cambios del complemento de Elementor WordPress
Citación
Lea el informe de Wordfence sobre la vulnerabilidad de Elementor
Vulnerabilidad crítica de ejecución remota de código en Elementor
Consultar el artículo en la publicación original