WordPress: pericoloso exploit per Elementor Pro
Con il rilascio della versione 6.2 di WordPress gli sviluppatori del CMS hanno compiuto un altro passo per l'integrazione nel core di funzionalità fino ad ora disponibili soltanto tramite l'uso di site builder con interfaccia visuale. Questi ultimi continuano però ad essere molto diffusi e tra di essi uno dei più popolari è sicuramente Elementor.
Di Elementor esistono due versioni: una gratuita che integra gli strumenti essenziali per la personalizzazione di un layout grafico per WordPress, spesso sufficienti per un progetto semiprofessionale, e una a pagamento, chiamata Elementor Pro, che offre diverse feature aggiuntive tra cui widget e template addizionali e supporto premium.
La release Pro verrebbe utilizzata oggi in non meno di 11 milioni di siti Web pubblicati online ma nelle ultime ore sarebbe stato segnalato un exploit in grado di mettere a rischio questi ultimi nel caso in cui presentino anche l'installazione di un altro popolare plugin di WordPress, WooCommerce, dedicato allo sviluppo di negozi di e-commerce.
Tale vulnerabilità sarebbe stata osservata nelle versioni 3.11.6 e precedenti e prenderebbe vita dal fatto che l'accesso a WooCommerce non sarebbe sottoposto ad alcun controllo. In questo modo un utenti malintenzionato potrebbe modificare le impostazioni del database, acquisire i privilegi di amministratore del CMS e inoculare un malware.
Tra gli incidenti già segnalati ve ne sarebbero alcuni in cui gli attaccanti avrebbero sfruttato l'exploit per redireazionare traffico verso pagine Web appositamente confezionate per l'installazione di backdoor. Si consiglia quindi di passare quanto prima alla versione 3.12.1 di Elementor Pro che è stata già patchata con i correttivi necessari ad evitare attacchi.
