Vulnerabilidade em plugin do WordPress afeta 600 mil sites

Uma falha de segurança foi identificada no plugin Essential Addons for Elementor, recurso muito popular na plataforma WordPress  usado em mais de um milhão de sites. A vulnerabilidade ocorre nas versões 5.0.4 e anteriores do software, e permite que usuários não autenticados executem código no site. O problema foi corrigido na versão 5.0.5, já disponível para atualização .

A vulnerabilidade foi descoberta há uma semana — em 25 de janeiro — por Wai Yan Myo Thet, pesquisador do PatchStack. Segundo ele, o desenvolvedor do Essential Addons for Elementor já sabia da falha de segurança na época, e chegou a lançar uma versão para resolver o problema.

Exemplo de código que permite a falha

Entretanto, o criador do programa não conseguiu solucionar a falha e adicionou novas funções para impedir a vulnerabilidade no patch 5.0.4, mas o plugin só recebeu um update efetivo com a versão mais recente, lançada no dia 28 de janeiro.

• WordPress adia atualização a pedido de desenvolvedores

Execução de código malicioso

A falha permite que qualquer usuário, independentemente de seu status de autenticação ou autorização, execute um ataque de inclusão de arquivo local. Este ataque pode ser usado para incluir arquivos locais no sistema do site ou adicionar arquivos com código PHP malicioso. Segundo estimativas do Bleeping Computer, mais de 600 mil sites ainda não aplicaram a atualização de segurança da vulnerabilidade.

• Apple paga US$ 100 mil a estudante que achou falha na câmera do Mac

Usuários que utilizam o plugin Essential Addons for Elementor podem obter a versão mais recente do software neste link ou atualizar diretamente no painel do WordPress.