WordPress, il plug-in Elementor ha una vulnerabilità grave: aggiornare subito!

Elementor Website Builder, un noto e diffuso plug-in per WordPress, è recentemente stato aggiornato alla versione 3.6.3 allo scopo di risolvere un problema critico che può portare all'esecuzione di codice da remoto con esiti potenzialmente gravi. Secondo le informazioni divulgate tramite WordPress Plugin Vulnerabilities, la vulnerabilità richiede l'autenticazione ma la gravità è dovuta al fatto che chiunque abbia effettuato l'accesso al sito web ha la possibilità di sfruttarla.

La radice del problema è la mancanza di un controllo di accesso fondamentale sul file "module.php" del plugin. Si tratta di un file che viene caricato ad ogni richiesta durante l'azione admin_init anche per quegli utenti ce non sono loggati al sito. In questo modo esiste la possibilità di accedere alla funzione upload_and_install_pro() che consente di installare un plugin WordPress inviato con la richiesta. E' a questo punto che un malintenzionato potrebbe inviare un file dannoso per ottenere l'esecuzione di codice da remoto. 

Il problema è sorto a partire dalla versione 2.6 di Elementor, rilasciato lo scorso 22 marzo. Attualmente, secondo le statistiche di WordPress, il 30,7% degli utenti che fanno uso di Elementor hanno installato una versione 3.6.x, il che significa che sul totale di oltre 5 milioni di siti che fanno uso di Elementor, il numero di quelli potenzialmente interessati è di 1,5 milioni circa. Da quando l'aggiornamento è stato rilasciato si stima che vi possano essere ancora 500 mila siti web con la falla sfruttabile.

Il consiglio è ovviamente quello, per chi si trova ad utilizzare un sito web basato su WordPress e su Elementor, di aggiornare immediatamente il plug-in e di attivare gli aggiornamenti automatici nel caso sia possibile farlo senza problemi.