El lunes 8 de marzo de 2021, el equipo de Wordfence Threat
Intelligence encontró un 0-day en el plugin Plus para Elementor, un plugin premium
de WordPress que se estima que estaría instalado en alrededor de 30.000
páginas. El error permite a los atacantes crear nuevas cuentas de administrador
en sitios vulnerables, siempre y cuando este habilitado el registro de usuarios
junto con la autenticación como un usuario administrador.
El mismo plugin tiene una versión Lite que es gratuita y
creada por el mismo developer, está versión gratuita no es vulnerable al
exploit comentado anteriormente.
El plugin Plus para Elementor es un plugin diseñado para
añadir diferentes widgets que son utilizados con el plugin Elementor. Uno de
estos widgets permite añadir un form de inicio de sesión y registro a una página
con Elementor. Este plugin es el que tiene el fallo de seguridad, donde permite
registrarse con una nueva cuenta de administrador o bien iniciar sesión con una
cuenta de administrador ya existente. Además, hay que tener en cuenta que
teniendo instalado el plugin ya es suficiente para explotar la vulnerabilidad
sin la necesidad de tener una página de inicio de sesión o registro utilizando
el widget mencionado anteriormente.
Los creadores del plugin lanzaron el martes día 9 la versión
4.1.7, una nueva versión donde ya está parcheado la vulnerabilidad. Es muy
recomendable actualizar a esta última versión.