Vulnerabilidad crítica de Elementor Pro – Search Engine Journal

WordFence informa que Elementor Pro tiene una vulnerabilidad de vulnerabilidad de día crítico cero. Esta vulnerabilidad no se ha abordado y se está explotando activamente.

Dos complementos de Elementor son vulnerables

Según WordFence, hay dos complementos involucrados que tienen una vulnerabilidad.

Elementor Pro es un complemento vulnerable

Elementor Pro es la versión paga del complemento de creación de páginas de Elementor WordPress. Esta vulnerabilidad no afecta la versión gratuita del complemento Elementor.

La vulnerabilidad se clasifica como "crítica" según WordFence.

Un hacker debe estar registrado en el sitio web para aprovechar la vulnerabilidad.

Si está ejecutando un sitio web de WordPress impulsado por Elementor Pro y permite que los visitantes del sitio se registren para comentar o contribuir al sitio, puede ser vulnerable.

Sin embargo, si su sitio WordPress Elementor Pro no tiene usuarios registrados, aún puede estar en riesgo.

La razón por la que aún puede estar en riesgo es que otro complemento de Ultimate Addons para Elementor permite que un hacker se registre como suscriptor, incluso si el registro está prohibido.

Esto significa que el complemento Ultimate Addons para Elementor permite que un hacker piratee Elementor Pro.

De acuerdo con WordFence:

"Debido a la vulnerabilidad no corregida en este momento, excluimos toda otra información.

Tenemos datos de otro proveedor que indican que el equipo de Elementor está trabajando en una solución. Nos contactamos con Elementor y no recibimos confirmación inmediata de esto antes de la publicación. "

Complementos definitivos para la vulnerabilidad de Elementor

El segundo complemento que es vulnerable es el complemento Ultimate Addons para Elementor. La vulnerabilidad permite que un atacante aproveche la vulnerabilidad de Elementor Pro si el registro de usuario está deshabilitado.

En este momento, no hay parches disponibles para corregir la vulnerabilidad de Elementor Pro.

Pero hay un parche para arreglar el complemento Ultimate Addons para Elementor (instrucciones aquí).

Al actualizar el complemento Ultimate Addons (si lo instaló), en teoría puede evitar que un hacker opere un sitio Elementor Pro, siempre que se prohíban los registros de usuarios.

Cómo proteger su sitio web Elementor Pro

WordFence recomienda degradar a la versión gratuita de Elementor (disponible aquí). Esta versión de Elementor Page Builder no es vulnerable.

Una vez que se corrige Elementor Pro, puede actualizar la versión pro corregida del complemento y estar a salvo de piratería.

Lea el anuncio de WordFence:

El ataque combinado de Elementor Pro y Ultimate Addons para Elementor pone en peligro 1 millón de sitios