Elementor Website Builder es una herramienta ampliamente utilizada para la creación de sitios web en WordPress. Sin embargo, es importante tener en cuenta que a lo largo de su vida se han identificado y solucionado varias vulnerabilidades.

Recientemente, se reportó una vulnerabilidad el 12 de mayo de 2023. Es fundamental mantener actualizado Elementor y todas las extensiones asociadas, así como implementar medidas de seguridad adicionales para proteger tu sitio web. Asegúrate de seguir las recomendaciones de seguridad, como instalar las actualizaciones de seguridad y utilizar plugins de seguridad confiables, para minimizar los riesgos y mantener tu sitio protegido.

Vulnerabilidad en el plugins Elementor Website Builder

En mi última semana como experto en seguridad WordPress, me he encontrado con una preocupante vulnerabilidad. Se ha descubierto que el plugin Elementor para WordPress es vulnerable a la modificación no autorizada de datos. Esta vulnerabilidad puede ser explotada por atacantes con permisos mínimos, permitiéndoles realizar acciones como registrar el sitio para pruebas beta, activar el modo seguro y manipular elementos de categoría. Es crucial tomar medidas inmediatas para actualizar el plugin Elementor a la última versión y proteger tu sitio web contra esta vulnerabilidad. La seguridad de tu sitio es primordial, y debes estar atento a las actualizaciones y parches de seguridad para mantenerlo protegido.


elementor/trunk/modules/safe-mode/module.php
	65	    }
	66	
 	67	    /**
 	68	     * @throws \Exception
 	69	     */
	70	    public function ajax_enable_safe_mode( $data ) {
 	71	        if ( ! current_user_can( 'install_plugins' ) ) {
 	72	            throw new \Exception( 'Access denied.' );
 	73	        }
 	74	
	75	        // It will run `$this-&gt;&gt;update_safe_mode`.
	76	        update_option( 'elementor_safe_mode', 'yes' );

elementor/trunk/modules/safe-mode/module.php

65 }

67 /**

68 * @throws \Exception

69 */

70 public function ajax_enable_safe_mode( $data ) {

71 if ( ! current_user_can( 'install_plugins' ) ) {

72 throw new \Exception( 'Access denied.' );

73 }

75 // It will run `$this->>update_safe_mode`.

76 update_option( 'elementor_safe_mode', 'yes' );

El fragmento de código que he proporcionado muestra una función llamada «ajax_enable_safe_mode()» en el plugin Elementor para WordPress. Esta función se utiliza para habilitar el modo seguro del plugin. Sin embargo, hay una verificación insuficiente de los permisos de usuario en esta función. Actualmente, solo se verifica si el usuario tiene la capacidad de instalar plugins, pero esto no garantiza que el usuario tenga los permisos adecuados para realizar esta acción. Por lo tanto, es posible que un atacante con permisos mínimos pueda ejecutar esta función y habilitar el modo seguro de Elementor, lo cual podría tener implicaciones de seguridad. Es importante que los desarrolladores del plugin aborden esta vulnerabilidad y realicen las comprobaciones adecuadas de los permisos de usuario para garantizar la seguridad del plugin.

Servicio de desinfección web

¿Tu sitio ha sido comprometido? ¡No se preocupe más! te ofrezco mi servicio de desinfección web con más de 10 años de experiencia, puede estar seguro de que su sitio estará completamente limpio de virus y malware. Confíe en mi experiencia y proteja su sitio web hoy mismo.

Contactar o Llamar