Una vulnerabilidad de ejecución remota de código descubierta en el complemento Elementor Website Builder que puede conducir a la toma completa del sitio
Se descubrió una vulnerabilidad en Elementor, a partir de la versión 3.6.0, que permite a un atacante cargar código arbitrario y realizar una toma de control completa del sitio. La falla se introdujo debido a la falta de políticas de seguridad adecuadas en una nueva función del asistente de "Incorporación".
Verificaciones de capacidad faltantes
La falla en Elementor estaba relacionada con lo que se conoce como Comprobaciones de capacidad. Una verificación de capacidad es una capa de seguridad que todos los fabricantes de complementos están obligados a codificar. Lo que hace la verificación de capacidad es verificar qué nivel de permiso tiene cualquier usuario que haya iniciado sesión. Por ejemplo, una persona con un permiso de nivel de suscriptor podría enviar comentarios a los artículos, pero no tendrá los niveles de permiso que le otorgan acceso a la pantalla de edición de WordPress para publicar publicaciones en el sitio.
Los roles de usuario pueden ser administrador, editor, suscriptor, etc. Cada nivel contiene capacidades de usuario que se asignan a cada rol de usuario.Cuando un complemento ejecuta código, se supone que verifica si el usuario tiene la capacidad suficiente para ejecutar ese código. WordPress publicó un Manual de complementos que aborda específicamente este importante control de seguridad. El capítulo se llama Verificación de las capacidades del usuario y describe lo que los fabricantes de complementos deben saber sobre este tipo de verificación de seguridad.
El manual de WordPress aconseja:
“ Comprobación de las capacidades del usuario
Si su complemento permite a los usuarios enviar datos, ya sea en el lado del administrador o del lado público, debe verificar las capacidades del usuario.…
El paso más importante para crear una capa de seguridad eficiente es contar con un sistema de permisos de usuario. WordPress proporciona esto en forma de roles y capacidades de usuario”.
Elementor versión 3.6.0 introdujo un nuevo módulo (módulo de incorporación) que no pudo incluir comprobaciones de capacidades.Entonces, el problema con Elementor no es que los piratas informáticos fueran inteligentes y descubrieran una forma de tomar el control del sitio completo de los sitios web basados en Elementor. El exploit en Elementor se debió a que no se usaron las comprobaciones de capacidad donde se suponía que debían hacerlo.
Según el informe publicado por Wordfence:
“Desafortunadamente, no se utilizaron controles de capacidad en las versiones vulnerables. Un atacante podría crear un complemento zip falso malicioso "Elementor Pro" y usar esta función para instalarlo. Se ejecutaría cualquier código presente en el complemento falso, que podría usarse para controlar el sitio o acceder a recursos adicionales en el servidor”.
Historias relacionadas :
WordPress : lanzamiento retrasado después de identificar 'grandes banderas rojas
Automattic se apodera de la empresa de seguridad de WordPress WPScan
Un error del complemento de WordPress podría borrar todo su sitio
[Fuente]: searchenginejournal.com
doki7.( 13 de Abril de 2022).23 images. Modificado por Carlos Zambrado Recuperado pixabay.com