Vulnerabildad RCE en plugin Elementor Website Builder

---

18/04/2022

Se ha encontrado una vulnerabilidad en el complemento Elementor Website Builder para WordPress, que permitiría al atacante obtener control total de los sitios web que hayan sido afectados, realizando ejecución remota de código (RCE).

La vulnerabilidad de severidad crítica (sin identificador ni puntuación asignada aún), se encuentra relacionada a la carga arbitraria de archivos en sitios web afectados, dada por la introducción de la versión 3.6.0. El atacante autenticado, independientemente de su autorización podría aprovechar esta vulnerabilidad para cambiar el título del sitio, su logotipo, o provocar ejecución remota de código (RCE).

Las versiones afectadas son:

• Elementor Website Builder Plugin, version 3.6.0 hasta 3.6.3

Recomendamos instalar las actualizaciones correspondientes provistas por WordPress en el siguiente link:

• https://plugins.trac.wordpress.org/changeset/2708766/elementor/trunk/core/app/modules/onboarding/module.php?old=2688036&old_path=elementor%2Ftrunk%2Fcore%2Fapp%2Fmodules%2Fonboarding%2Fmodule.php

Referencias:

• https://thehackernews.com/2022/04/critical-rce-flaw-reported-in-wordpress.html
• https://plugins.trac.wordpress.org/changeset/2708766/elementor/trunk/core/app/modules/onboarding/module.php?old=2688036&old_path=elementor%2Ftrunk%2Fcore%2Fapp%2Fmodules%2Fonboarding%2Fmodule.php
• https://wordpress.org/plugins/elementor/