È stata riscontrata una vulnerabilità critica di esecuzione di codice remoto (RCE) nel popolare plugin di WordPress Essential Addons per Elementor che ha un impatto su centinaia di migliaia di siti Web.
Elementor è un noto plug-in WordPress utilizzato in oltre un milione di siti che fornisce elementi creativi e facili da usare per migliorare l’aspetto delle pagine. La vulnerabilità interessa la versione 5.0.4 e precedenti.
Questa vulnerabilità consente a qualsiasi utente, indipendentemente dal proprio stato di autenticazione o autorizzazione, di eseguire un attacco di inclusione di file locali nel filesystem del sito Web. Può essere utilizzato anche per eseguire RCE includendo un file con codice PHP dannoso che normalmente non può essere eseguito.
“La vulnerabilità dell’inclusione di file locali esiste a causa del modo in cui i dati di input dell’utente vengono utilizzati all’interno della funzione include di PHP che fa parte delle funzioni ajax_load_more e ajax_eael_product_gallery”, hanno spiegato i ricercatori di PatchStack.
L’unico prerequisito per l’attacco è che il sito abbia i widget “galleria dinamica” e “galleria prodotti” abilitati in modo che non sia presente un controllo token.
La vulnerabilità è stata scoperta il 25 gennaio 2022 dal ricercatore Wai Yan Muo Thet. Lo sviluppatore del plugin era già a conoscenza della sua esistenza in quel momento e aveva rilasciato la versione 5.0.3 per risolverla applicando una funzione sui dati di input dell’utente. Tuttavia, questa patch non impediva l’inclusione di carichi utili locali.
Il secondo tentativo è stato la versione 5.0.4, che ha aggiunto un’altra funzione e ha tentato di rimuovere caratteri speciali, punti, barre e tutto ciò che poteva essere utilizzato per ignorare il passaggio di sanificazione del testo.
Patchstack ha testato la versione e l’ha trovata vulnerabile, quindi ha informato lo sviluppatore che la correzione non aveva mitigato sufficientemente il problema.
Alla fine, l’autore ha rilasciato la versione 5.0.5 implementando la funzione “realpath” di PHP, prevenendo risoluzioni dannose dei percorsi.
Questa versione è stata rilasciata il 28 gennaio 2022 e in questo momento è stata installata circa 380.000 volte, secondo le statistiche di download di WordPress. Ciò significa che, con il plug-in installato in oltre 1 milione di siti WordPress, ci sono ancora oltre 600.000 siti che non hanno applicato l’aggiornamento di sicurezza.