Vulnerabilidad de ejecución remota de código (RCE) en plugin de WordPress

04/08/2023 Noticias 0

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin JetElements For Elementor de WordPress, que podría permitir a un atacante autenticado ejecutar código arbitrario en el sitio web afectado. 

La vulnerabilidad identificada como CVE-2023-39157, de severidad “Crítica”, con una puntuación asignada de 9.0. Esta vulnerabilidad debe a una falla de seguridad en la función render_meta, en los parámetros de entrada $callback y $callback_args del plugin JetElements For Elementor de WordPress. Estas opciones permiten especificar una clave “meta”, una “etiqueta” y una “función” de devolución de llamada. La vulnerabilidad surge cuando el parámetro $callback, proveniente de $meta[‘meta_callback’], no valida correctamente el input de estas variables, pudiendo ser manipulados por un usuario visitante. De manera similar, el parámetro $callback_args también puede ser manipulado por un usuario. 

Esto permitiría a un atacante autenticado a través de la manipulación de estos parámetros ejecutar código arbitrario, establecer una puerta trasera e incluso posteriormente tomar el control total del sitio web afectado. 

El producto afectado es: 

  • Plugin JetElements For Elementor de WordPress, versión 2.6.10 y anteriores. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace: 

Adicionalmente, se recomienda a los usuarios que sigan las siguientes recomendaciones para proteger sus sitios web de vulnerabilidades: 

  • Mantener todos los plugins y softwares actualizados. 
  • Utilizar un complemento de seguridad para escanear el sitio web en busca de vulnerabilidades. 
  • Implementar contraseñas seguras y autenticación de dos factores. 
  • Realizar una copia de seguridad del sitio web y la configuración de forma periódica. 

Referencias: 

Compartir: