3 min read

Vulnerabilidade do WordPress em plugin Essential para Elementor

Vulnerabilidade do WordPress em plugin Essential para Elementor

Mais de 1 milhão de sites WordPress afetados por vulnerabilidades que podem levar a ataques de execução remota de código.

O plugin Essential Addons for Elementor WordPress, com mais de um milhão de usuários corrigiu recentemente várias vulnerabilidades que poderiam permitir que invasores maliciosos executassem código arbitrário em um site WordPress direcionado.

Vulnerabilidade de ataque de LFI para RCE

De acordo com o site NIST do governo dos EUA, vulnerabilidades no plugin Essential Addons for Elementor possibilitaram que um invasor lançasse um ataque de inclusão de arquivo local, que é uma exploração que permite que um invasor faça com que uma instalação do WordPress revele informações confidenciais e leia arbitrariamente arquivos.

A partir daí, o ataque pode levar a um ataque mais sério chamado Remote Code Execution (RCE). A Execução Remota de Código é uma forma altamente séria de ataque em que um hacker é capaz de executar código arbitrário em um site WordPress e causar uma série de danos, incluindo uma aquisição completa do site.

Como exemplo, um ataque de inclusão de arquivo local pode ser realizado alterando os parâmetros de URL para algo que possa revelar informações confidenciais.

Isso foi possível porque o plugin Essential Addons for Elementor WordPress não validou e sanitizou os dados corretamente.

A sanitização de dados é um processo para limitar o tipo de informação que pode ser inserida. Em termos simples, a sanitização de dados pode ser pensada como uma trava que permite apenas uma entrada específica, uma chave com um padrão específico. Uma falha ao realizar a higienização de dados pode ser análoga a uma trava que permite que qualquer chave a abra.

De acordo com o Banco de Dados Nacional de Vulnerabilidades do Governo dos Estados Unidos:

O plugin Essential Addons for Elementor WordPress antes de 5.0.5 não valida e higieniza alguns dados de modelo antes deles em instruções de inclusão, o que pode permitir que invasores não autenticados executem ataques de inclusão de arquivos locais e leiam arquivos arbitrários no servidor, isso também pode levar para RCE por meio de arquivos carregados pelo usuário ou outras técnicas de LFI para RCE.”

O site de segurança WPScan que foram os primeiros a descobrir e relatar a vulnerabilidade, que publicou a seguinte descrição:

“O plug-in não valida e higieniza alguns dados de modelo antes deles nas instruções de inclusão, o que pode permitir que invasores não autenticados executem o ataque de inclusão de arquivo local e leiam arquivos arbitrários no servidor, isso também pode levar ao RCE por meio de arquivos carregados pelo usuário ou outro LFI às técnicas de RCE.”

Complementos essenciais para Elementor Patched

A vulnerabilidade foi anunciada no site do National Vulnerability Database em 1º de fevereiro de 2022.

Mas a versão “Lite” do plugin Essential Addons for Elementor vem corrigindo vulnerabilidades desde o final de janeiro, de acordo com o changelog Essential Addons Lite.

Um changelog é um log de software de todas as alterações feitas para cada versão atualizada. É um registro de tudo o que foi alterado.

Curiosamente, o changelog para a versão Pro menciona apenas “Algumas pequenas correções de bugs e melhorias”, mas não menciona as correções de segurança.

Captura de tela de complementos essenciais para Elementor Pro Changelog

Registro de alterações para complementos essenciais para o plug-in Elementor

Por que as informações de correção de segurança estão faltando na versão Pro do plugin WordPress?

Changelog para a versão Lite do Essential Addons for Elementor Lite Plugin

O changelog para a versão Lite que cobre as versões 5.0.3 a 5.0.5 foi atualizado de 25 a 28 de janeiro de 2022 para corrigir os seguintes problemas:

  • Corrigido: sanitização de parâmetros em widgets dinâmicos
  • Melhorado: caminhos de arquivo de modelo higienizados para aprimoramento de segurança
  • Aprimorado: Segurança aprimorada para evitar a inclusão de servidor remoto de formulário de arquivo indesejado por meio de solicitação ajax

O changelog observa que hoje, em 2 de fevereiro de 2022, o seguinte aprimoramento de segurança foi realizado para a versão 5.0.6:

  • Melhorado: sanitização, validação e escape de dados para aprimoramento de segurança

Qual é a versão mais segura dos complementos essenciais para o plug-in Elementor?

O Banco de Dados de Vulnerabilidades do Governo dos EUA não atribuiu uma pontuação de gravidade, portanto, não está claro neste momento quão ruim é a vulnerabilidade.

No entanto, uma vulnerabilidade de execução remota de código é particularmente preocupante, portanto, provavelmente é uma boa ideia atualizar para a versão mais recente do plug-in Essential Addons.

O site WPScan afirma que as vulnerabilidades foram corrigidas no Essential Addons for Elementor Plugin versão 5.0.5.

No entanto, o registro de alterações do plug-in para a versão Lite do plug-in afirma que a versão 5.0.6 corrige um problema adicional de limpeza de dados hoje, em 22 de fevereiro de 2022.

Portanto, pode ser prudente atualizar pelo menos para a versão 5.0.6.

Citações

Complementos essenciais para Elementor < 5.0.5 – LFI não autenticado

CVE-2022-0320 Detalhe

Complementos essenciais para o registro de alterações do plug-in Elementor Lite

Complementos essenciais para Elementor Pro Changelog