TLP:CLEAR PAP:WHITE
Vulnerabilidad explotada en Elementor Pro de WordPress
Descripción
Actores maliciosos están explotando activamente una vulnerabilidad de alta gravedad en el popular complemento Elementor Pro WordPress utilizado por más de once millones de sitios web.
Un atacante autenticado puede aprovechar la vulnerabilidad para crear una cuenta de administrador habilitando el registro y configurando el rol predeterminado en "administrador", cambiar la dirección de correo electrónico del administrador o redirigir todo el tráfico a un sitio web malicioso externo cambiando la URL del sitio, entre muchas otras posibilidades.
Es importante tener en cuenta que para que se explote la falla en particular, también se debe instalar el complemento WooCommerce en el sitio, que activa el módulo vulnerable correspondiente en Elementor Pro.
Un atacante autenticado puede aprovechar la vulnerabilidad para crear una cuenta de administrador habilitando el registro y configurando el rol predeterminado en "administrador", cambiar la dirección de correo electrónico del administrador o redirigir todo el tráfico a un sitio web malicioso externo cambiando la URL del sitio, entre muchas otras posibilidades.
Es importante tener en cuenta que para que se explote la falla en particular, también se debe instalar el complemento WooCommerce en el sitio, que activa el módulo vulnerable correspondiente en Elementor Pro.
Productos afectados
Elementor Pro WordPress v3.11.6 y anteriores
Riesgo
Alto
Soluciones
Se recomienda actualizar su sitio lo antes posible si está ejecutando el complemento Elementor Pro con una versión anterior a la 3.11.7.
Referencias
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es