Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin JetElements For Elementor de WordPress, que podría permitir a un atacante autenticado ejecutar código arbitrario en el sitio web afectado.
La vulnerabilidad identificada como CVE-2023-39157, de severidad “Crítica”, con una puntuación asignada de 9.0. Esta vulnerabilidad debe a una falla de seguridad en la función render_meta, en los parámetros de entrada $callback y $callback_args del plugin JetElements For Elementor de WordPress. Estas opciones permiten especificar una clave “meta”, una “etiqueta” y una “función” de devolución de llamada. La vulnerabilidad surge cuando el parámetro $callback, proveniente de $meta[‘meta_callback’], no valida correctamente el input de estas variables, pudiendo ser manipulados por un usuario visitante. De manera similar, el parámetro $callback_args también puede ser manipulado por un usuario.
Esto permitiría a un atacante autenticado a través de la manipulación de estos parámetros ejecutar código arbitrario, establecer una puerta trasera e incluso posteriormente tomar el control total del sitio web afectado.
El producto afectado es:
- Plugin JetElements For Elementor de WordPress, versión 2.6.10 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Adicionalmente, se recomienda a los usuarios que sigan las siguientes recomendaciones para proteger sus sitios web de vulnerabilidades:
- Mantener todos los plugins y softwares actualizados.
- Utilizar un complemento de seguridad para escanear el sitio web en busca de vulnerabilidades.
- Implementar contraseñas seguras y autenticación de dos factores.
- Realizar una copia de seguridad del sitio web y la configuración de forma periódica.
Referencias:
- https://securityonline.info/cve-2023-39157-rce-in-jetelements-for-elementor-plugin-affects-300000-websites/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-39157
- https://patchstack.com/database/vulnerability/jet-elements/wordpress-jetelements-for-elementor-plugin-2-6-10-authenticated-remote-code-execution-rce-vulnerability
- https://crocoblock.com/plugins/jetelements/