A falha estava presente no plugin para Wordpress designado por Elementor Website Builder, um plugin que permite aos criadores de um blogue o seu design de forma mais criativa, desde o texto aos diversos elementos estáticos da página.
Acontece que esta falha, seguida pelo CVE-2022-1329, devido a um problema de insuficiente controlo de acesso, abria possibilidade de execução de código remota através da função upload_and_install_pro, ou seja, o atacante podia servir-se de um plugin falso "Elementor Pro" e usar esta mesma função para o instalar; a partir do momento que o mesmo fosse executado, o atacante podia ter acesso total ao site e ainda a recursos adicionais do servidor.
Solução
- Atualizar para a versão 3.6.0
Página oficial de atualização do plugin: https://pt.wordpress.org/plugins/elementor/
Mais informações sobre a falha: https://www.bleepingcomputer.com/news/security/critical-flaw-in-elementor-wordpress-plugin-may-affect-500k-sites/
Comments