Uma vulnerabilidade de severidade crítica impactando os Addons e Templates Royal Elementor até a versão 1.3.78 está sendo ativamente explorada por duas equipes de segurança do WordPress.
Como a exploração foi observada antes do fornecedor liberar uma correção, a falha foi aproveitada por hackers como um zero-day.
Addons e Templates Royal Elementor por 'WP Royal' é um kit de construção de sites que permite a rápida criação de elementos web sem conhecimento de programação.
De acordo com o WordPress.org, ele tem mais de 200.000 instalações ativas.
A falha que afeta o add-on é rastreada como
CVE-2023-5360
(CVSS v3.1: 9.8 "crítica"), permitindo que invasores não autenticados realizem uploads de arquivos arbitrários em sites vulneráveis.
Embora o plugin apresente uma validação de extensão para limitar uploads apenas a tipos de arquivos específicos e permitidos, usuários não autenticados podem manipular a 'lista permitida' para contornar a sanitização e as verificações.
Os invasores podem potencialmente conseguir a execução de código remoto por meio desta etapa de upload de arquivo, levando a um comprometimento completo do site.
Detalhes técnicos adicionais sobre a falha foram retidos para prevenir sua exploração em massa.
Duas empresas de segurança do WordPress, Wordfence e WPScan (Automattic), marcaram o
CVE-2023-5360
como ativamente explorado desde 30 de agosto de 2023, com o volume de ataques aumentando a partir de 3 de outubro de 2023.
A Wordfence relata ter bloqueado mais de 46.000 ataques mirando o Royal Elementor no mês passado, enquanto a WPScan registrou 889 casos de invasores lançando dez payloads distintos depois de explorar a falha.
A maioria daos payloads utilizadas nesses ataques são scripts PHP que tentam criar um usuário administrador do WordPress chamado 'wordpress_administrator' ou agir como um backdoor.
O WordPress diz que a maioria dos ataques se origina de apenas dois endereços IP, portanto, a exploração pode ser conhecida apenas por um punhado de atores maliciosos.
O fornecedor do add-on foi contatado com todos os detalhes em 3 de outubro e lançou a versão 1.3.79 dos addons e templates do Royal Elementor em 6 de outubro de 2023 para corrigir a falha.
Todos os usuários do add-on são aconselhados a atualizar para essa versão o mais rápido possível.
Se você não tem acesso a nenhuma solução de varredura comercial, pode usar este scanner gratuito para determinar a suscetibilidade do seu site a ataques.
Esteja ciente de que a atualização do add-on para a versão 1.3.79 não removerá automaticamente as infecções ou deletará arquivos maliciosos, portanto, uma limpeza do site será necessária nesses casos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...