Una vulnerabilidad en un 'plugin' de WordPress pone en riesgo millones de sitios web

Elementor Pro es un 'plugin' para WordPress que permite a los usuarios crear páginas web de apariencia profesional de forma sencilla, sin que sea necesario que sepan programar. Está instalado en más de once millones de páginas.

Los investigadores de NinTechNet, una empresa que ha diseñado una aplicación web firewall para WordPress, ha identificado una vulnerabilidad en Elementor Pro, que han calificado de 'gravedad alta', como recogen en su blog oficial.

Esta error se encuentra en la versión premium del 'plugin' y su explotación requiere tener WooCommerce habilitado en el sitio web, de tal forma que da acceso a la página de registro, donde un actor malicioso podría crear una cuenta con privilegios de administrador.

Jerome Bruandet, de NinTechNet, descubrió la vulnerabilidad el 18 de marzo, en la versión 3.11.6 (y anteriores) de Elementor Pro. Los investigadores de Patchstack han confirmado que la vulnerabilidad se ha explotado de forma activa, y por ello es recomendable instalar cuando antes la corrección que ya ha preparado Elementor (3.11.7), disponible desde el 22 de marzo.