Uma vulnerabilidade de severidade crítica impactando os Addons e Templates Royal Elementor até a versão 1.3.78 está sendo ativamente explorada por duas equipes de segurança do WordPress.
Como a exploração foi observada antes do fornecedor liberar uma correção, a falha foi aproveitada por hackers como um zero-day.
Addons e Templates Royal Elementor por 'WP Royal' é um kit de construção de sites que permite a rápida criação de elementos web sem conhecimento de programação.
De acordo com o WordPress.org, ele tem mais de 200.000 instalações ativas.
A falha que afeta o add-on é rastreada como
CVE-2023-5360
(CVSS v3.1: 9.8 "crítica"), permitindo que invasores não autenticados realizem uploads de arquivos arbitrários em sites vulneráveis.
Embora o plugin apresente uma validação de extensão para limitar uploads apenas a tipos de arquivos específicos e permitidos, usuários não autenticados podem manipular a 'lista permitida' para contornar a sanitização e as verificações.
Os invasores podem potencialmente conseguir a execução de código remoto por meio desta etapa de upload de arquivo, levando a um comprometimento completo do site.
Detalhes técnicos adicionais sobre a falha foram retidos para prevenir sua exploração em massa.
Duas empresas de segurança do WordPress, Wordfence e WPScan (Automattic), marcaram o
CVE-2023-5360
como ativamente explorado desde 30 de agosto de 2023, com o volume de ataques aumentando a partir de 3 de outubro de 2023.
A Wordfence relata ter bloqueado mais de 46.000 ataques mirando o Royal Elementor no mês passado, enquanto a WPScan registrou 889 casos de invasores lançando dez payloads distintos depois de explorar a falha.
A maioria daos payloads utilizadas nesses ataques são scripts PHP que tentam criar um usuário administrador do WordPress chamado 'wordpress_administrator' ou agir como um backdoor.
O WordPress diz que a maioria dos ataques se origina de apenas dois endereços IP, portanto, a exploração pode ser conhecida apenas por um punhado de atores maliciosos.
O fornecedor do add-on foi contatado com todos os detalhes em 3 de outubro e lançou a versão 1.3.79 dos addons e templates do Royal Elementor em 6 de outubro de 2023 para corrigir a falha.
Todos os usuários do add-on são aconselhados a atualizar para essa versão o mais rápido possível.
Se você não tem acesso a nenhuma solução de varredura comercial, pode usar este scanner gratuito para determinar a suscetibilidade do seu site a ataques.
Esteja ciente de que a atualização do add-on para a versão 1.3.79 não removerá automaticamente as infecções ou deletará arquivos maliciosos, portanto, uma limpeza do site será necessária nesses casos.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...