|
Em 29 de março de 2022, a equipe do Wordfence Threat Intelligence iniciou o processo de divulgação de uma vulnerabilidade crítica no plug-in Elementor que permitia que qualquer usuário autenticado fizesse upload de código PHP arbitrário. O Elementor é um dos plugins WordPress mais populares e está instalado em mais de 5 milhões de sites. “Enviamos nossa divulgação para o endereço de e-mail oficial de contato de segurança da Elementor em 29 de março e seguimos em 5 de abril de 2022. Como não recebemos uma resposta até 11 de abril de 2022, enviamos a divulgação para a equipe de plugins do WordPress”, segundo a equipe do Wordfence Threat Intelligence. Uma versão corrigida do plug-in, 3.6.3, foi lançada no dia seguinte, em 12 de abril de 2022. Os usuários do Wordfence Premium , Wordfence Care e Wordfence Response receberam uma regra de firewall protegendo contra esse problema em 29 de março de 2022. Os sites que ainda executam a versão gratuita do Wordfence receberão a mesma proteção 30 dias depois, em 28 de abril de 2022. |
|
|
|
Descrição: Controle de Acesso Insuficiente levando à Execução Remota de Código do Assinante+
Plugin afetado: Elementor Plugin Slug: elementor Desenvolvedor de plugins: Elementor Versões Afetadas: 3.6.0 – 3.6.2 ID CVE: CVE-2022-1329 Pontuação CVSS : 9,9 (Crítico) Vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H Pesquisador/es : Ramuel Gall Versão totalmente corrigida : 3.6.3 |
0 comentários