Hackers estuvieron explotando del plugin Elementor Pro de WordPress en millones de sitios web

Hackers desconocidos están explotando activamente una vulnerabilidad de seguridad parcheada recientemente en el complemento del creador de sitios web Elementor Pro para WordPress.

La vulnerabilidad, descrita como un caso de control de acceso roto, afecta a las versiones 3.11.6 y anteriores. Fue abordador por los mantenedores del complemento en la versión 3.11.7 lanzada el 22 de marzo.

«Se mejoró la aplicación de la seguridad del código en los componentes de WooCommerce», dijo la compañía con sede en Tel Aviv en sus notas de lanzamiento. Se estima que el plugin premium se utiliza en más de 12 millones de sitios web.

La explotación exitosa de la vulnerabilidad de alta gravedad permite que un hacker autenticado complete una toma de control de un sitio de WordPress que tiene habilitado WooCommerce.

El investigador de seguridad de NinTechNet, Jerome Bruandet, obtuvo el crédito por descubrir e informar sobre la vulnerabilidad el 18 de marzo de 2023.

Patchstack dijo además de que la vulnerabilidad está siendo abusada actualmente desde distintas direcciones IP con la intención de cargar archivos PHP y ZIP arbitrarios.

Se recomienda a los usuarios del plugin Elementor Pro que actualicen a 3.11.7 o 3.12.0, que es la última versión, lo antes posible para mitigar posibles amenazas.

El aviso llega más de un año después de que se descubriera que el complemento Essential Addons for Elementor contenía una vulnerabilidad crítica que podría resultar en la ejecución de código arbitrario en sitios web comprometidos.

La semana pasada, WordPress emitió actualizaciones automáticas para corregir otro error crítico en el plugin de pagos WooCommerce, que permitía a los hackers no autenticados obtener acceso de administrador a sitios vulnerables.