El plugin Elementor Pro, ampliamente utilizado en sitios empresariales de WordPress, ha sido comprometido por una vulnerabilidad de alta severidad que afecta a más de 11 millones de sitios web. El problema ha sido resuelto con un parche de seguridad lanzado a finales de marzo de 2023.

Para mitigar las vulnerabilidades asociadas, se recomienda actualizar al menos a la versión 3.11.7.

WordPress es una plataforma de gestión de contenido ampliamente utilizada por empresas de todos los tamaños debido a su facilidad de uso, flexibilidad y personalización. Actualmente, el 42.9% de todos los sitios web en Internet utilizan esta plataforma. Además, el 64.1% de las páginas que utilizan sistemas de gestión de contenidos son construidas en WordPress.

Elementor Pro es un plugin de WordPress utilizado por más de 11 millones de sitios web para crear diseños personalizados de páginas utilizando un constructor visual. El problema afecta a la versión 3.11.6 y a todas las versiones anteriores y permite a los usuarios autenticados cambiar la configuración del sitio y tomar el control completo del sitio.

El fallo se explota a través de una acción AJAX vulnerable, «pro_woocommerce_update_page_option», que adolece de una validación de entrada mal implementada y de falta de comprobaciones de capacidad.

PatchStack, una empresa de seguridad de WordPress, informa que los hackers están explotando activamente esta vulnerabilidad del plugin Elementor Pro para redirigir a los visitantes a dominios maliciosos o cargar puertas traseras en el sitio vulnerado.

Si su sitio utiliza Elementor Pro, es recomendable actualizar al menos a la versión 3.11.7 para mitigar las vulnerabilidades asociadas. Si su sitio ha sido hackeado, se recomienda restaurar una copia de seguridad limpia de su sitio web.

Encuentra la noticia original en ingles aqui