Segundo as empresas de segurança WordPress, Wordfence e WPScan, Falha no plugin WordPress Royal Elementor está sendo explorada por hackers.
Royal Elementor Addons and Templates da ‘WP Royal’ é um kit de construção de sites que permite a criação rápida de elementos da web sem conhecimento de codificação. De acordo com WordPress.org, possui mais de 200.000 instalações ativas.
Agora, uma vulnerabilidade de gravidade crítica que afeta complementos e modelos do Royal Elementor até a versão 1.3.78 foi explorada ativamente por duas equipes de segurança do WordPress.
Hackers exploram falha no plugin WordPress Royal Elementor
A falha que afeta o complemento é rastreada como CVE-2023-5360 (CVSS v3.1: 9.8 “crítico”), permitindo que invasores não autenticados realizem uploads arbitrários de arquivos em sites vulneráveis.
Como a exploração foi observada antes do fornecedor lançar um patch, a falha foi aproveitada pelos hackers como um zero-day.
Embora o plug-in apresente uma validação de extensão para limitar uploads apenas a tipos de arquivos específicos e permitidos, usuários não autenticados podem manipular a ‘lista permitida’ para ignorar a higienização e as verificações.
Os invasores podem potencialmente conseguir a execução remota de código por meio desta etapa de upload de arquivo, levando ao comprometimento completo do site.
Detalhes técnicos adicionais sobre a falha foram retidos para evitar a exploração generalizada.
Explorado para criar contas de administrador desonestas
Duas empresas de segurança WordPress, Wordfence e WPScan (Automattic), marcaram o CVE-2023-5360 como explorado ativamente desde 30 de agosto de 2023, com o volume de ataque aumentando a partir de 3 de outubro de 2023.
O Wordfence relata ter bloqueado mais de 46.000 ataques direcionados ao Royal Elementor no mês passado, enquanto o WPScan registrou 889 casos de invasores que abandonaram dez cargas distintas após aproveitar a falha.
A maioria das cargas usadas nesses ataques são scripts PHP que tentam criar um usuário administrador do WordPress chamado ‘wordpress_administrator’ ou agir como um backdoor.
O WordPress afirma que a maioria dos ataques se origina de apenas dois endereços IP, portanto, a exploração pode ser conhecida apenas por alguns agentes de ameaças.
O fornecedor do complemento foi contatado com todos os detalhes em 3 de outubro e lançou Royal Elementor Addons and Templates versão 1.3.79 em 6 de outubro de 2023, para corrigir a falha.
Recomenda-se que todos os usuários do complemento atualizem para essa versão o mais rápido possível.
Se você não tiver acesso a nenhuma solução comercial de digitalização, poderá usar este scanner gratuito para determinar a suscetibilidade do seu site a ataques.
Esteja ciente de que atualizar o complemento para a versão 1.3.79 não removerá automaticamente infecções nem excluirá arquivos maliciosos, portanto, uma limpeza do site será necessária nesses casos.