Portada Wordpress Vulnerabilidad Detectada en el Plugin Essential Addons para Elementor (Ya Parcheada con Versión 5.0.6 / Febrero 2022)
Los desarrolladores del Plugin Essential Addons para Elementor han notificado que han solucionado una reciente vulnerabilidad crítica presentada en este famoso plugin de WordPress que a día de hoy cuenta con más de un millón de instalaciones activas.
Essential Addons se anuncia como la librería de elementos más popular para el «builder» Elementor. Puede mejorar la experiencia de creación de páginas con más de 80 elementos creativos y extensiones.
En Hostinet disponemos de un amplio artículo sobre este plugin por si se quiere descubrir en profundidad → Plugin Essential Addons, el Compañero Perfecto para Elementor.
La vulnerabilidad de seguridad presentada en el plugin, descubierta por Wai Yan Myo Thet, crea un mecanismo para que cualquier usuario pueda realizar un ataque de inclusión de archivos locales (LFI – local file inclusion – en inglés). Pero todavía puede ser mucho peor aprovechar la vulnerabilidad para conseguir la ejecución remota de código (RCE – remote code execution – en inglés) al incluir un archivo con código PHP malicioso que normalmente no se puede ejecutar.
Wai Yan Myo Thet por lo visto pudo informar de la vulnerabilidad a los desarrolladores del plugin tras detectar con la ayuda de WPScan.
Como se explica en un informe técnico de la vulnerabilidad realizado por el especialista en seguridad de WordPress, Patchstack, la vulnerabilidad LFI se deriva de cómo las funciones ajax_load_more y ajax_eael_product_gallery utilizan los datos de entrada.
La vulnerabilidad solo existe si se usan widgets de WordPress (galería dinámica, galería de productos) que utilizan estas funciones, según Patchstack.
Dave Jong, CTO de Patchstack, le dijo a The Daily Swig que antes de su resolución, la vulnerabilidad podía ser explotada incluso por usuarios no autenticados.
“El problema central, la inclusión de archivos locales, es algo que los usuarios no autenticados pueden explotar”, explicó Jong. “El único requisito es que estos widgets se hayan incrustado en una página porque se envía un token nonce (para evitar CSRF) y se verifica en estas funciones vulnerables. Sin el token nonce, no puede acceder a la pieza de código vulnerable”.
En varios escenarios, un atacante podría aprovechar esta vulnerabilidad para lograr la ejecución remota de código (RCE – remote code execution – en inglés) sin tener que iniciar sesión o incluso crear una cuenta en un sistema objetivo.
“Si, por ejemplo, el sitio almacena y mantiene archivos de registro en el servidor, y puede inyectar código PHP en estos archivos de registro y luego incluir este archivo de registro utilizando la vulnerabilidad LFI, se ejecutará el código PHP dentro del archivo de registro, ” según Jong.
Continuó: “Otro ejemplo: tal vez un formulario donde los usuarios pueden cargar su currículum podría explotarse de la misma manera. Puedo crear un archivo PDF legítimo pero inyectar PHP dentro de él en alguna parte. Luego, si conozco la ubicación donde se carga el archivo PDF, puedo incluir este archivo PDF y se ejecutará el código PHP”.
Tras un par de correcciones fallidas o al menos incompletas, la vulnerabilidad se resolvió por completo hace unos días en la versión 5.0.6 de Essential Addons para Elementor.
Siempre que ponemos este tipo de noticias decimos lo mismo y es que no queda otra, si a día de hoy tenemos este plugin en nuestro WordPress con una versión inferior a 5.0.6, ya estamos tardando en actualizarlo, puesto que de lo contrario podría afectarnos la vulnerabilidad comentada en este mismo post y con ello que se incrementa la posibilidad de que se pueda inyectar código malicioso en nuestro website, con todos los problemas que luego eso conlleva…
La única forma de asegurarnos de que nuestra web con WordPress no tenga fisuras es teniendo actualizado al día todos sus plugins y themes, así como el propio CMS en sí. Sabemos que a veces esto es mucho más complicado de lo que parece sobre todo cuando se tiene programaciones o themes propios personalizados que al actualizar algo se va todo al traste, pero es que si no se actualiza somos propensos a que nuestra web pueda ser hackeada fácilmente y deje de funcionar.
Eh aquí la cuestión entonces, ¿Actualizar o NO Actualizar? Si la opción es Actualizar, NO te olvides de hacer una Copia de Seguridad tanto del contenido web de WordPress, así como también de la base de datos 😉
Si contratas un Hosting WordPress en Hostinet, cuentas con una herramienta que escanea todos los archivos de WordPress en busca de cualquier anti-malware que puedan haber añadido en tus archivos.
No es posible añadir evitar todas las vulnerabilidades de todos los plugins de WordPress, pero si un atacante consigue añadir código malicioso, lo podemos detectar y aislar para que no vaya a más.
Después te avisaremos para que puedas poner tu web en orden lo antes posible y esto está incluido en todos los planes de alojamiento web WordPress: