Уязвимость появилась в версии Elementor 3.6.0 и исправлена в версии 3.6.3.

Разработчики плагина Elementor Website Builder для WordPress выпустили новую версию 3.6.3, в которой исправлена критическая уязвимость удаленного выполнения кода, потенциально затрагивающая 500 тыс. сайтов.

Хотя для эксплуатации уязвимости требуется авторизация, она все равно является критической, поскольку проэксплуатировать ее может любой человек, авторизовавшийся на уязвимом сайте.

Злоумышленник, создавший обычную учетную запись пользователя на затронутом сайте, может поменять его название и тему и изменить его до неузнаваемости. Исследователи из Plugin Vulnerabilities считают , что проэксплуатировать уязвимость может и неавторизованный пользователь, но у них нет подтвержденного сценария.

Проблема заключается в отсутствии необходимой проверки доступа в файле плагина module.php, загружаемом по каждому запросу в процессе действия admin_init, даже для неавторизованных пользователей.

Уязвимость появилась в версии Elementor 3.6.0, выпущенной 22 марта 2022 года.

До версий плагина 3.6.x обновились 30,7% пользователей, то есть, максимальное количество уязвимых сайтов может составлять порядка 1,5 млн. 13 апреля плагин был загружен немногим более 1 млн раз. Учитывая, что загружена была последняя версия Elementor, можно предположить, что уязвимыми остаются 500 тыс. сайтов.

Специалисты Plugin Vulnerabilities также опубликовали PoC-код в качестве доказательства возможности проэксплуатировать уязвимость. Администраторам сайтов рекомендуется установить последнюю версию плагина Elementor или удалить его вовсе.

Источник: securitylab