Se ha revelado una vulnerabilidad de seguridad en el popular complemento de WordPress Essential Addons para Elementor que podría explotarse potencialmente para lograr privilegios elevados en los sitios afectados.
El problema, rastreado como CVE-2023-32243, ha sido abordado por los mantenedores del complemento en la versión 5.7.2 que se envió el 11 de mayo de 2023. Essential Addons para Elementor tiene más de un millón de instalaciones activas.
“Este complemento sufre una vulnerabilidad de escalada de privilegios no autenticados y permite que cualquier usuario no autenticado aumente sus privilegios a los de cualquier usuario en el sitio de WordPress”, dijo Rafie Muhammad, investigador de Patchstack .
La explotación exitosa de la falla podría permitir que un actor de amenazas restablezca la contraseña de cualquier usuario arbitrario, siempre que la parte malintencionada conozca su nombre de usuario. Se cree que la deficiencia existe desde la versión 5.4.0.
Esto puede tener serias ramificaciones, ya que la falla podría convertirse en un arma para restablecer la contraseña asociada con una cuenta de administrador y tomar el control total del sitio web.
“Esta vulnerabilidad ocurre porque esta función de restablecimiento de contraseña no valida una clave de restablecimiento de contraseña y, en cambio, cambia directamente la contraseña del usuario dado”, señaló Muhammad.
La divulgación se produce más de un año después de que Patchstack revelara otra falla grave en el mismo complemento que podría haber sido objeto de abuso para ejecutar código arbitrario en sitios web comprometidos.
Los hallazgos también siguen al descubrimiento de una nueva ola de ataques dirigidos a sitios de WordPress desde finales de marzo de 2023 que tiene como objetivo inyectar el infame malware SocGholish (también conocido como FakeUpdates).
SocGholish es un marco de malware de JavaScript persistente que funciona como un proveedor de acceso inicial para facilitar la entrega de malware adicional a los hosts infectados. El malware se ha distribuido a través de descargas ocultas que se hacen pasar por una actualización del navegador web.
Se descubrió que la última campaña detectada por Sucuri aprovecha las técnicas de compresión utilizando una biblioteca de software llamada zlib para ocultar el malware, reducir su huella y evitar la detección.
“Los malos actores están continuamente desarrollando sus tácticas, técnicas y procedimientos para evadir la detección y prolongar la vida de sus campañas de malware”, dijo el investigador de Sucuri Denis Sinegubko .
“El malware SocGholish es un excelente ejemplo de esto, ya que los atacantes han alterado su enfoque en el pasado para inyectar scripts maliciosos en sitios web de WordPress comprometidos”. No es solo SocGholish. Malwarebytes, en un informe técnico de esta semana, detalló una campaña de publicidad maliciosa que sirve a los visitantes de sitios web para adultos con anuncios emergentes que simulan una actualización falsa de Windows para eliminar el cargador “in2al5d p3in4er” (también conocido como Impresora no válida).
“El esquema está muy bien diseñado ya que se basa en el navegador web para mostrar una animación de pantalla completa que se parece mucho a lo que esperarías de Microsoft”, dijo Jérôme Segura, director de inteligencia de amenazas de Malwarebytes .
El cargador, que fue documentado por Morphisec el mes pasado, está diseñado para verificar la tarjeta gráfica del sistema para determinar si se está ejecutando en una máquina virtual o en un entorno de espacio aislado y, en última instancia, lanzar el malware de robo de información Aurora .
La campaña, según Malwarebytes, se ha cobrado 585 víctimas en los últimos dos meses, y el actor de amenazas también está vinculado a otras estafas de soporte técnico y un panel de comando y control del bot Amadey .
Complementos esenciales para la falla del complemento de Elementor explotada activamente.
Wordfence, en su propio aviso, dijo que la vulnerabilidad crítica en el complemento Complementos esenciales para Elementor se está explotando activamente en la naturaleza, y que bloqueó 200 ataques dirigidos a la falla en las últimas 24 horas, por lo que es imperativo que los usuarios se muevan rápidamente para actualizar a la última versión.
