Una grave falla di sicurezza ha interessato Elementor Website Builder, un plugin di WordPress per il web design, tanto che gli sviluppatori sono intervenuti con una patch di sicurezza tramite l'aggiornamento alla versione 3.6.3. La vulnerabilità riscontrata permetteva l'esecuzione di codice da remoto e avrebbe avuto un impatto addirittura su 500 mila siti web.
La falla è stata rilevata dall'agenzia di sicurezza Plugin Vulnerabilities (PV), che ne ha descritto le caratteristiche tecniche in un report. Secondo i ricercatori, la falla sarebbe stata sfruttabile solo tramite autenticazione, tuttavia chiunque avesse accesso a uno dei siti compromessi con credenziali valide, avrebbe potuto modificarne a piacimento l'aspetto e il nome, ad esempio per avviare una campagna di phishing. Non sono state trovate prove circa la possibilità di sfruttare la falla anche senza accesso con credenziali, tuttavia PV sostiene che fosse possibile.
In sostanza, mancava una funzione valida di controllo accessi sul file module.php del plugin, che viene caricato a ogni richiesta durante l'azione admin_init. Poiché una delle funzioni di admin_init prevede il caricamento di file sotto forma di plugin WordPress, un'eventuale violazione consentirebbe di caricare file compromessi, al fine di eseguire codice dannoso da remoto.
La vulnerabilità sarebbe stata introdotta con Elementor versione 3.6.0, pubblicata a marzo 2022. Secondo WordPress, poco più del 30% degli utenti avrebbe fatto l'aggiornamento alla versione 3.6.x di Elementor e ciò porta il numero dei siti potenzialmente colpiti dalla falla a ben 1.500.000. Tuttavia, a oggi, la versione 3.6.3 è stata scaricata circa un milione di volte, pertanto i siti ancora soggetti alla vulnerabilità dovrebbero essere circa 500 mila.
L'ulteriore problema è che i ricercatori di PV non hanno ancora convalidato la patch, dunque non è certo che sia al 100% risolutiva, inoltre Elementor non ha condiviso di dettagli dell'intervento correttivo. Nel frattempo, l'agenzia di sicurezza ha pubblicato un Proof of Concept che dimostra la vulnerabilità riscontrata, andando ad aumentare il rischio di compromissione dei siti vulnerabili.
Al momento, le azioni consigliate agli amministratori sono di installare l'ultima versione del plugin Elementor WordPress o, ancora meglio, rimuoverlo del tutto. Chi, invece, teme di finire in uno dei siti compromessi dovrebbe assicurarsi di installare un buon antivirus che includa anche la funzione di blocco degli URL compromessi.
