Hackers exploram falha crítica no plugin Royal Elementor do WordPress
17 de Outubro de 2023

Uma vulnerabilidade de severidade crítica impactando os Addons e Templates Royal Elementor até a versão 1.3.78 está sendo ativamente explorada por duas equipes de segurança do WordPress.

Como a exploração foi observada antes do fornecedor liberar uma correção, a falha foi aproveitada por hackers como um zero-day.

Addons e Templates Royal Elementor por 'WP Royal' é um kit de construção de sites que permite a rápida criação de elementos web sem conhecimento de programação.

De acordo com o WordPress.org, ele tem mais de 200.000 instalações ativas.

A falha que afeta o add-on é rastreada como CVE-2023-5360 (CVSS v3.1: 9.8 "crítica"), permitindo que invasores não autenticados realizem uploads de arquivos arbitrários em sites vulneráveis.

Embora o plugin apresente uma validação de extensão para limitar uploads apenas a tipos de arquivos específicos e permitidos, usuários não autenticados podem manipular a 'lista permitida' para contornar a sanitização e as verificações.

Os invasores podem potencialmente conseguir a execução de código remoto por meio desta etapa de upload de arquivo, levando a um comprometimento completo do site.

Detalhes técnicos adicionais sobre a falha foram retidos para prevenir sua exploração em massa.

Duas empresas de segurança do WordPress, Wordfence e WPScan (Automattic), marcaram o CVE-2023-5360 como ativamente explorado desde 30 de agosto de 2023, com o volume de ataques aumentando a partir de 3 de outubro de 2023.

A Wordfence relata ter bloqueado mais de 46.000 ataques mirando o Royal Elementor no mês passado, enquanto a WPScan registrou 889 casos de invasores lançando dez payloads distintos depois de explorar a falha.

A maioria daos payloads utilizadas nesses ataques são scripts PHP que tentam criar um usuário administrador do WordPress chamado 'wordpress_administrator' ou agir como um backdoor.

O WordPress diz que a maioria dos ataques se origina de apenas dois endereços IP, portanto, a exploração pode ser conhecida apenas por um punhado de atores maliciosos.

O fornecedor do add-on foi contatado com todos os detalhes em 3 de outubro e lançou a versão 1.3.79 dos addons e templates do Royal Elementor em 6 de outubro de 2023 para corrigir a falha.

Todos os usuários do add-on são aconselhados a atualizar para essa versão o mais rápido possível.

Se você não tem acesso a nenhuma solução de varredura comercial, pode usar este scanner gratuito para determinar a suscetibilidade do seu site a ataques.

Esteja ciente de que a atualização do add-on para a versão 1.3.79 não removerá automaticamente as infecções ou deletará arquivos maliciosos, portanto, uma limpeza do site será necessária nesses casos.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...