La vulnerabilidad crítica detectada en Essetials Addons for Elementor afecta a 600.000 sitios de WordPress permitiendo a un atacante realizar un ataque de Local File Inclusion (LFI) con el objetivo de poder realizar ejecución remota de código (RCE).
La vulnerabilidad de Local File Inclusion (LFI) se debe a una falla existente de la forma en que se procesan los inputs del usuario dentro de las funciones ajax_load_more y ajax_eael_product_gallery”, lo cual permitiría a un atacante poder realizar local file inclusión(LFI) con el objetivo de subir un archivo .php malicioso y realizar ejecución remota de código (RCE).
El único requisito previo para el ataque es que el sitio tenga habilitados los widgets de «Dynamic galery» y «product galery», para que no esté presente una verificación de token.
Las versiones afectadas son la 5.0.4 y anteriores.
Se recomienda actualizar el plugin a su última versión para mitigar esta vulnerabilidad:
En caso de poder actualizar el plugin a su última versión se recomienda:
- Guardar el path los archivos en una base de datos segura y proporcionar una identificación para cada uno.
- Utilizar archivos de whitelist e ignorar los demás.
- No incluir archivos en un servidor web que puedan verse comprometidos, utilizar una base de datos en su lugar.
- Configurar el servidor para que envíe encabezados de descarga automáticamente en lugar de ejecutar archivos en un directorio específico.
Referencias: