WordPress Erro do Elementor Pro: O que é
O relatório afirma que esse problema está afetando a versão 3.11.6 do plug-in e todas as versões anteriores a ela. Este bug permite que usuários autenticados (como clientes de lojas ou membros do site) alterem as configurações do site. O bug também pode ser usado por hackers para realizar uma aquisição completa do site.
Bruandet explica que o bug está afetando um controle de acesso quebrado no módulo WooCommerce do plug-in. Esse problema permite que qualquer usuário altere as opções do WordPress no banco de dados sem validação adequada.
Uma ação AJAX vulnerável chamada “pro_woocommerce_update_page_option” está ajudando os invasores a explorar essa falha. Esta ação sofre de validação de entrada fracamente implementada e não consegue realizar verificações de capacidade.
Bruandet explica que “um invasor autenticado pode aproveitar a vulnerabilidade para criar uma conta de administrador ativando o registro e definindo a função padrão como “administrador”, alterando o endereço de e-mail do administrador ou redirecionando todo o tráfego para um site malicioso externo alterando o URL do site entre muitas outras possibilidades.”
No entanto, é importante observar que, para os hackers explorarem esse bug, os sites também precisam ter o plug-in WooCommerce instalado. O plug-in WooCommerce está ativando o módulo vulnerável no Elementor Pro.
Como os hackers estão explorando esse bug
A empresa de segurança PatchStack relatou que os hackers estão explorando ativamente esse bug do plugin Elementor Pro para redirecionar os visitantes para sites perigosos. Os hackers também estão enviando backdoors para o site violado. O relatório também compartilha os nomes dos backdoors carregados nesses ataques, que são — wp-resortpark.zip, wp-rate.php ou lll.zip.
Uma amostra do arquivo lll.zip foi detectada contendo um PHP roteiro. Um invasor remoto usa isso para carregar arquivos adicionais no servidor comprometido. Esse backdoor também permite que hackers obtenham acesso total ao site WordPress. Os invasores podem acessar esse backdoor para roubar dados ou instalar códigos maliciosos adicionais.
De acordo com o relatório, a maioria dos ataques direcionados aos sites expostos são originários desses endereços IP – 193.169.194.63, 193.169.195.64, 194.135.30.6. Os usuários também foram sugeridos para adicionar esses endereços à lista de bloqueio.
Os sites que usam o Elementor Pro também são sugeridos para atualizar para a versão 3.11.7 ou posterior imediatamente. O WordPress também atualizou recentemente o plug-in WooCommerce Payments para lojas online. Esta atualização aborda uma falha crítica de segurança que permitia que invasores não autenticados obtivessem acesso de administrador a sites expostos.