Blog da Amicatek

Problema crítico de Segurança no Essential Addons for Elementor

Essential Addons for Elementor, um plugin popular com mais de um milhão de instalações ativas, corrigiu uma vulnerabilidade crítica que permitiria um ataque de inclusão de arquivo local.

A vulnerabilidade foi descoberta pelo pesquisador de segurança Wai Yan Myo Thet e relatada ao Patchstack em 25 de janeiro de 2022. Os clientes do Patchstack receberam um patch virtual no mesmo dia. O problema já era conhecido pelos desenvolvedores do plugin, WPDeveloper, que emitiram dois patches insuficientes antes de ser corrigido na versão 5.0.5.

O Patchstack publicou um resumo da vulnerabilidade e explicou como os sites WordPress que usam o plug-in podem ser comprometidos:

Essa vulnerabilidade permite que qualquer usuário, independentemente de seu status de autenticação ou autorização, execute um ataque de inclusão de arquivo local. Este ataque pode ser usado para incluir arquivos locais no sistema de arquivos do site, como /etc/passwd. Isso também pode ser usado para executar RCE incluindo um arquivo com código PHP malicioso que normalmente não pode ser executado.

:: Confira também em nosso Blog:
Guia Completo de Segurança WordPress

É importante observar que a vulnerabilidade afeta principalmente os usuários que têm a galeria dinâmica e os widgets da galeria de produtos em uso.

O changelog do plugin faz com que a atualização pareça mais um aprimoramento do que uma séria preocupação de segurança, então os usuários podem não estar totalmente cientes de que precisam atualizar:


5.0.5 – 28/01/2022
Improved: Enhanced Security to prevent inclusion of unwanted file form remote server through ajax request

5.0.4 – 27/01/2022
Improved: Sanitized template file paths for Security Enhancement
Added: Support for new Capability Queries for WordPress 5.9
Fixed: Elementor Popups not being triggered
Few minor bug fixes & improvements

Todas as versões anteriores à 5.0.5 são consideradas vulneráveis. As estatísticas do WordPress.org não dividem as instalações ativas de acordo com versões secundárias, mas aproximadamente 54% dos usuários do plugin estão executando versões anteriores à 5.0.

Conteúdo original no WPTavern. Traduzido livremente.

Se deseja evitar preocupações relacionadas a estes temas, consulte nossos planos de manutenção WordPress.

Este artigo te ajudou? Faça uma avaliação usando as Estrelas
Fellipe Soares

Fellipe Soares

Bacharel em Sistemas da Informação, trabalha há mais de 10 anos com WordPress na criação de soluções para empresas e profissionais liberais.

Inscreva-se para receber novidades

Tenha em primeira mão conteúdos especiais sobre WordPress

Deixe um comentário

O seu endereço de e-mail não será publicado.

Saiba mais sobre ,