Elementor, ein WordPress Website-Builder-Plugin mit über fünf Millionen aktiven Installationen, ist anfällig für einen Fehler bei der authentifizierten Remotecodeausführung, der dazu missbraucht werden kann, betroffene Websites zu übernehmen.
Plugin Vulnerabilities, das den Fehler letzte Woche bekannt gab, erklärte, dass der Fehler in der Version 3.6.0, die am 22. März 2022 veröffentlicht wurde, eingeführt wurde. Etwa 37 % der Nutzer des Plugins verwenden die Version 3.6.x.
„Das bedeutet, dass vom Angreifer bereitgestellter bösartiger Code auf der Website ausgeführt werden kann“, so die Forscher. „In diesem Fall ist es möglich, dass die Schwachstelle von jemandem ausgenutzt werden kann, der nicht in WordPress eingeloggt ist, aber sie kann leicht von jedem ausgenutzt werden, der in WordPress eingeloggt ist und Zugriff auf das WordPress-Admin-Dashboard hat.“
Kurz gesagt, handelt es sich um einen Fall von willkürlichem Datei-Upload auf betroffene Websites, der zur Ausführung von Code führen kann.
Der Fehler wurde in der neuesten Version von Elementor behoben. Patchstack stellt fest, dass „diese Schwachstelle es jedem authentifizierten Benutzer, unabhängig von seiner Berechtigung, ermöglichen könnte, den Titel der Website und das Logo zu ändern, das Theme in das Theme von Elementor zu ändern und, was am schlimmsten ist, beliebige Dateien auf die Website hochzuladen“.
Die Enthüllung erfolgt mehr als zwei Monate, nachdem in Essential Addons for Elementor eine kritische Schwachstelle gefunden wurde, die die Ausführung von beliebigem Code auf kompromittierten Websites ermöglichen könnte.