Sårbarhed i Elementor Pro-plugin til WordPress

11 millioner websteder omfattet af sårbarhed.

Ukendte trusselsaktører udnytter lige nu en nyligt rettet sårbarhed et særligt plugin til Wordpress, der hedder Elementor Pro. Det skriver The Hacker News m.fl.

Problemet opstår, når Elementor Pro er installeret på et websted, der har WooCommerce aktiveret. Fejlen gør ifølge Wordfence det muligt for autentificerede angribere at opdatere vilkårlige webstedsindstillinger, hvilket kan føre til eskalering af privilegier.  Autentificerede angribere er i denne kontekst godkendte brugere, fvs. butikskunder eller redaktører af webstedet, mulighed for at ændre webstedets indstillinger. Det kan føre potentielt føre til en fuldstændig overtagelse af webstedet.

Elementor pro er et websted builder-plugin, og den pågældende sårbarhed påvirker version 3.11.6 og tidligere.

Fejlen er håndteret i version 3.11.7, som blev udgivet den 22. marts.

Links:

https://www.bleepingcomputer.com/news/security/hackers-exploit-bug-in-elementor-pro-wordpress-plugin-with-11m-installs/
https://securityaffairs.com/144290/hacking/elementor-pro-wordpress-plugin-critical-bug.html
https://thehackernews.com/2023/04/hackers-exploiting-wordpress-elementor.html
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/elementor-pro/elementor-pro-3116-authenticatedsubscriber-privilege-escalation-via-update-page-option