Vulnerabilidad crítica a Elementor Pro – Search Engine Journal



WordFence informa que Elementor Pro tiene una vulnerabilidad crítica de día cero. Esta vulnerabilidad no se ha corregido y se está explotando activamente.

Dos complementos de Elementor son vulnerables

Según WordFence, hay dos complementos involucrados que tienen una vulnerabilidad.

Elementor Pro es un complemento vulnerable

Elementor Pro es la versión paga del complemento de generador de páginas de WordPress de Elementor. Esta vulnerabilidad no afecta a la versión gratuita del complemento Elementor.

La vulnerabilidad se clasifica como “crítica” según WordFence.

Un hacker necesitaría estar registrado en el sitio para explotar la vulnerabilidad.

Si ejecuta un sitio de WordPress con Elementor Pro y permite que los visitantes se registren para comentar o contribuir al sitio, puede ser vulnerable.

Sin embargo, si el sitio web de Elementor Pro WordPress no tiene usuarios registrados, aún puede estar en riesgo.

La razón por la que aún puede estar en riesgo es porque otro complemento de Ultimate Addons para Elementor permite que un hacker se registre como suscriptor, incluso si el registro está prohibido.

Esto significa que el complemento Ultimate Addons para Elementor permite que un hacker piratee Elementor Pro.

De acuerdo con WordFence:

“Como la vulnerabilidad no se ha solucionado en este momento, estamos excluyendo información adicional.

Tenemos datos de otro proveedor que indican que el equipo de Elementor está trabajando en un parche. Nos contactamos con Elementor y no recibimos confirmación inmediata de esto antes de la publicación “.

Complementos definitivos para el elemento de vulnerabilidad o

El segundo complemento vulnerable es el complemento Ultimate Addons para Elementor. La vulnerabilidad permite a un hacker explotar la vulnerabilidad de Elementor Pro si el registro de usuario está deshabilitado.

Actualmente no hay parches disponibles para corregir la vulnerabilidad de Elementor Pro.

Pero hay un parche para arreglar los complementos definitivos para el complemento Elementor (instrucciones aquí).

Al actualizar el complemento Ultimate Addons (si lo ha instalado), en teoría, puede evitar que un hacker explote un sitio web de Elementor Pro, siempre y cuando el registro de usuario esté prohibido.

Cómo proteger el sitio web de Elementor Pro

WordFence recomienda degradar a la versión gratuita de Elementor (disponible aquí). Esta versión de Elementor Page Builder no es vulnerable.

Después de que Elementor Pro se haya solucionado, puede actualizar a la versión profesional corregida del complemento y evitar intrusiones.

Lea el anuncio de WordFence:

El ataque combinado de Elementor Pro y Ultimate Addons para Elementor pone en riesgo 1 millón de sitios

Botón volver arriba