El equipo de Wordfence, el plug-in de seguridad para WordPress, ha descubierto vulnerabilidades en más de 15 complementos del popular plug-in para WordPress llamado Elementor.
Estos 15 complementos de Elementor están instalados en más de 3.5 millones de páginas de WordPress, y Wordfence ha encontrado en total más de 100 vulnerabilidades.
Estas errores de seguridad en forma de «cross-site scripting» (secuencias de comandos en sitios cruzados), se ejecutan de forma similar a la grave vulnerabilidad de Elementor que la compañía parcheó hace poco. Cuando entran en acción, permiten que cualquier usuario capaz de acceder a la plataforma de creación de sitios web, incluidos los colaboradores, pueda agregar código JavaScript a las publicaciones.
Este código JavaScript se ejecuta cuando un usuario accede, edita o muestra una vista preliminar de la publicación y se podría usar para tomar el control de la web en caso de que la víctima sea un administrador.
Complementos vulnerables
Al igual que el plug-in principal de Elementor, estos complementos añaden elementos que permiten a los usuarios seleccionar una etiqueta HTML de un menú desplegable para dar formato a un título u otro tipo de texto. Sin embargo, como las etiquetas no se ejecutan en el lado del servidor, un atacante podría agregar un nuevo elemento de título y cambiar su etiqueta «H5» por una de «script». Entonces podría agregar código JavaScript directamente, pudiendo ser un código malicioso en caso de tratarse de un sitio web vulnerable.
En una nueva publicación, Wordfence ha enumerado todo los complementos en los que han encontrado vulnerabilidades, y que ahora han sido parcheados, pero no ha podido contactar con todos los desarrolladores de los distintos plug-in para que puedan solucionarlo, por lo que ha contactado directamente con WordPress para que solucionen los problemas de seguridad de esos complementos.
Las páginas web que usan Elementor y cuentan con múltiples usuarios que pueden contribuir y que ejecutan una versión sin parchear de uno de estos complementos, deben considerarse en riesgo. Por esta razón, Wordfence recomienda que los propietarios de sitios web en WordPress actualicen sus plug-ins lo antes posible.
Si tienes una página web y haces uso de algún complemento de Elementor para añadir elementos a tu web, pero que no esté en la lista de los afectados, igualmente te sugerimos que te pongas en contacto con el desarrollador o el autor para preguntar si su producto está auditado y protegido frente a este tipo de vulnerabilidades.
Fuente: TechRadar
