Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad explotada activamente que afecta al plugin Elementor Pro de WordPress, que permitiría a un atacante autenticado crear una cuenta de administrador, acceder a registros confidenciales y obtener acceso no autorizado del sistema afectado.
Software afectado:
- Plugin Elementor Pro, versión 3.11.6 y anteriores.
Obs: sólo es afectada la versión Pro de Elementor, no así la versión gratuita.
Información adicional:
- https://www.cert.gov.py/wp-content/uploads/2023/04/BOL-CERT-PY-2023-13-Vulnerabilidad-de-acceso-no-autorizado-en-plugin-Elementor-Pro-de-WordPress.pdf
- https://www.bleepingcomputer.com/news/security/hackers-exploit-bug-in-elementor-pro-wordpress-plugin-with-11m-installs/
- https://blog.nintechnet.com/high-severity-vulnerability-fixed-in-wordpress-elementor-pro-plugin/
- https://patchstack.com/articles/critical-elementor-pro-vulnerability-exploited/
- https://patchstack.com/database/vulnerability/elementor-pro/wordpress-elementor-pro-3-11-6-authenticated-arbitrary-options-change-vulnerability
- https://elementor.com/pro/changelog/