Cientos de miles de sitios web se han visto afectados por una nueva vulnerabilidad. Se trata de páginas de WordPress, el popular gestor de contenido. Un plugin muy presente en miles de sitios web tiene una vulnerabilidad crítica de ejecución de código remoto. Concretamente se trata de Essential Addons for Elementor. Afecta a las versiones de este complemento sin actualizar.
Vulnerabilidad de inclusión de archivos
Este fallo permite a un atacante sin autorización realizar un ataque de inclusión de archivos locales, como un archivo PHP, y de esta forma poder ejecutar código en ese sitio web y comprometer la seguridad. Hay que tener en cuenta que este plugin es utilizado por cientos de miles de sitios, por lo que son muchos los vulnerables.
Según indican los investigadores de seguridad detrás de este descubrimiento, el requisito para poder realizar el ataque es que el sitio web tenga habilitados determinados widgets, como la galería dinámica y galería de productos. De esta forma no estaría habilitado el token para la verificación.
Hay que tener en cuenta que no es la primera vez que nos encontramos con un problema de este tipo que afecta a los plugins de WordPress. De hecho, siempre hemos recomendado no instalar más de los necesarios, ya que pueden ser una vía de entrada para los atacantes. Es imprescindible tenerlos siempre actualizados, descargarlos de fuentes oficiales y tener una revisión constante para evitar estas vulnerabilidades.
Si un atacante logra explotar un fallo de este tipo, por un lado va a afectar al rendimiento de esa web, a su posicionamiento en los buscadores y a la imagen de la marca. Pero también puede poner en riesgo la seguridad de los visitantes, ya que pueden colar código malicioso que redireccione a páginas fraudulentas, contengan archivos que en realidad son virus, etc.
