Критическая уязвимость, устраненная недавно в плагине Elementor для WordPress, позволяла аутентифицированным пользователям загружать произвольные файлы на уязвимые сайты, что в итоге могло привести к выполнению произвольного кода. Хуже того, исследователи полагают, что использовать уязвимость могут даже неаутентифицированные пользователи, хотя этот сценарий эксплуатации пока не подтвержден официально.
Хотя для эксплуатации уязвимости требуется аутентификация, баг все равно отнесли к разряду критических, так как воспользоваться им может любой, кто зашел на уязвимый сайт, включая обычных подписчиков. Для устранения RCE-проблемы, которая представлял угрозу для 500 000 сайтов, разработчики плагина Elementor Website Builder уже выпустили версию 3.6.3.
Проблему в популярном плагине обнаружили эксперты WordPress Plugin Vulnerabilities. По их данным, корень бага крылся в отсутствии критической проверки доступа к одному из файлов плагина, module.php, который загружается при каждом запросе во время действий с admin_init даже для незарегистрированных пользователей. Так как одна из функций, запускаемых admin_init, позволяет загружать файлы через форму плагина, злоумышленник может поместить туда вредоносный файл для удаленного выполнения кода.
По данным исследователей, проблема появилась в коде Elementor 3.6.0, выпущенном 22 марта 202Eleme2 года. Официальная статистика WordPress гласит, что примерно 30,7% пользователей Elementor обновились до версии 3.6.x, то есть максимальное количество потенциально уязвимых сайтов составляет примерно 1 500 000.
За последние дни плагин был загружен чуть более миллиона раз, и если допустить, что все эти установки используют версию 3.6.3, еще около 500 000 сайтов по-прежнему уязвимы. Стоит отметить, что команда Plugin Vulnerabilities приложила к своему отчету PoC-эксплоит для свежей уязвимости, что дополнительно увеличивает риск взлома уязвимых сайтов.