Es va descobrir una vulnerabilitat a Elementor, a partir de la versió 3.6.0, que permet a un atacant carregar codi arbitrari i organitzar una presa de possessió completa del lloc. La fallada es va introduir a causa de la manca de polítiques de seguretat adequades en una nova funció d’assistent “Incorporació”.
Comprovacions de capacitat que falten
El defecte d’Elementor estava relacionat amb el que es coneix com a comprovacions de capacitat.
Una comprovació de capacitat és una capa de seguretat que tots els fabricants de connectors estan obligats a codificar. El que fa la comprovació de capacitat és comprovar quin nivell de permís té qualsevol usuari iniciat.
Per exemple, una persona amb un permís de nivell de subscriptor pot enviar comentaris als articles, però no tindrà els nivells de permís que li permetin accedir a la pantalla d’edició de WordPress per publicar publicacions al lloc.
Els rols d’usuari poden ser administrador, editor, subscriptor, etc., amb cada nivell que conté les capacitats d’usuari que s’assignen a cada rol d’usuari.
Quan un connector executa codi, se suposa que ha de comprovar si l’usuari té la capacitat suficient per executar aquest codi.
WordPress va publicar un manual de connectors que aborda específicament aquesta important comprovació de seguretat.
El capítol es diu, Comprovació de les capacitats dels usuaris i descriu què han de saber els fabricants de connectors sobre aquest tipus de comprovació de seguretat.
El manual de WordPress aconsella:
“Comprovació de les capacitats dels usuaris
Si el vostre connector permet als usuaris enviar dades, ja sigui al costat de l’administració o al públic, hauria de comprovar les capacitats de l’usuari.
… El pas més important per crear una capa de seguretat eficient és disposar d’un sistema de permisos d’usuari. WordPress ofereix això en forma de rols i capacitats d’usuari”.
La versió 3.6.0 d’Elementor va introduir un mòdul nou (mòdul d’incorporació) que no va incloure comprovacions de capacitats.
Per tant, el problema amb Elementor no és que els pirates informàtics fossin intel·ligents i van descobrir una manera de fer una presa de possessió completa dels llocs web basats en Elementor.
L’explotació a Elementor es va deure a una fallada en utilitzar les comprovacions de capacitat on se suposava.
Segons l’informe publicat per Wordfence:
“Desafortunadament, no es van utilitzar comprovacions de capacitat a les versions vulnerables.
Un atacant podria crear un zip del connector “Elementor Pro” maliciós i fer servir aquesta funció per instal·lar-lo.
S’executaria qualsevol codi present al connector fals, que es podria utilitzar per fer-se càrrec del lloc o accedir a recursos addicionals al servidor”.
Acció recomanada
La vulnerabilitat es va introduir a la versió 3.6.0 d’Elementor i, per tant, no existeix en versions anteriors a aquesta.
Wordfence recomana que els editors actualitzin a la versió 3.6.3.
Tanmateix, l’oficial Registre de canvis d’Elementor indica que la versió 3.6.4 soluciona els problemes de desinfecció relacionats amb el mòdul de l’assistent d’incorporació afectat.
Així que probablement sigui una bona idea actualitzar a Elementor 3.6.4.
Captura de pantalla del registre de canvis del connector de WordPress d’Elementor
Citació
Llegiu l’informe de Wordfence sobre la vulnerabilitat d’Elementor
Vulnerabilitat crítica d’execució de codi remota a Elementor
![Primer SEO del públic amb HubSpot [Podcast]](https://i0.wp.com/serveistic.net/wp-content/uploads/2023/03/Primer-SEO-del-public-amb-HubSpot-Podcast.jpg?resize=270%2C270&ssl=1 "Primer SEO del públic amb HubSpot [Podcast]")