Vulnerabilidad de seguridad en Elementor Pro resuelta en la versión 2.9.4

ACTUALIZA YA a Elementor Pro 2.9.4. Encuentra aquí por qué y qué tienes que revisar para estar seguro que tu sitio web no está comprometido
Hack attack
Indice

La última brecha de seguridad detectada en en versiones anteriores a Elementor Pro 2.9.4 es grave y el ataque es masivo sobre sitios web no actualizados. Lee y comprueba si tu web ha sido comprometida.

Adjuntamos traducción del artículo original publicado por Elementor respecto a la última vulnerabilidad detectada en Elementor Pro.

P: ¿Qué medidas debo tomar inmediatamente?

R: Actualiza tu versión de Elementor Pro a la última, 2.9.4. Además, dirígete a la página de Ajustes >> General en tu área de administración de WordPress. Desplázate hacia abajo a la sección » Miembros » y desmarca la casilla junto a la opción » Cualquiera puede registrarse » a menos que la hayas activado intencionadamente y la necesites para tu sitio web.

La vulnerabilidad permite que se suban archivos maliciosos al sitio a través del sistema de carga de archivos Icon Sets Zip. Queremos enfatizar que esta laguna sólo afecta a los sitios de Elementor Pro con una opción específica de WordPress activa, a saber, la opción ‘Cualquiera puede registrarse’. Ya hemos lanzado una nueva versión de Elementor Pro que resuelve esta vulnerabilidad con dos correcciones principales:

Sólo los usuarios con rol de administrador pueden subir juegos de iconos.

Sólo los archivos autorizados pueden ser procesados a través de un archivo ZIP.

P: ¿Quién está expuesto a esta vulnerabilidad y a qué versión de Elementor se aplica?

R: El exploit utiliza el mecanismo de carga de archivos zip de Custom Icons para inyectar archivos maliciosos. La función de Custom Icons fue introducida en Elementor Pro 2.6. Los usuarios de esta y otras versiones posteriores (excepto la 2.9.4) podrían estar expuestos y deberían tomar medidas para garantizar la seguridad de su sitio.
Es poco probable que los usuarios que tienen su sitio alojado en un servidor que restringe la ejecución de archivos .php en la carpeta de subidas estén expuestos a esta vulnerabilidad.

P: ¿Cómo puedo saber si mi sitio se vio afectado?

R: Revisa tu lista de usuarios de WordPress para ver si algún nuevo usuario desconocido se ha registrado, especialmente si controlas quién se registra en tu sitio.

Si es así, no significa que tu sitio esté afectado: comprueba tu carpeta de iconos personalizados en el directorio de subidas: /wp-content/uploads/elementor/custom-icons/ y comprueba en las carpetas internas de Custom Icons si hay algún archivo .php desconocido. «index.php» es parte de los archivos originales.

Si encuentras algún rastro de los elementos mencionados anteriormente, es probable que tu sitio haya sido comprometido.

P: ¿Qué debo hacer en caso de que mi sitio se haya visto afectado?

R: Si crees que tu sitio ha sido afectado, borra cualquier usuario desconocido, cambia las contraseñas de tus usuarios registrados y ponte en contacto con tu proveedor de alojamiento para informarles sobre el problema para obtener más ayuda.

La restauración de una copia de seguridad anterior a la fecha de creación de la biblioteca de iconos personalizados infectados podría ser una solución viable para ti.

P: ¿Suelen ocurrir problemas de seguridad con frecuencia?

R: Fortalecer la seguridad es un proceso continuo, no un simple esfuerzo. Siempre que identificamos una amenaza, permanecemos atentos y publicamos una solución lo antes posible.

Cuando descubrimos por primera vez una vulnerabilidad de seguridad, empezamos por examinarla y comprenderla desde cada ángulo. Para no poner en peligro a nuestros usuarios antes de lanzar la solución, mantenemos el problema reportado discretamente. Una vez que publicamos la corrección, podemos continuar informando a los usuarios sobre la vulnerabilidad y su resolución.

Facebook
Twitter
LinkedIn
Pinterest

Entradas relacionadas

📩 Vendiendo, que es gerundio

Tranquilidad, menda. No tenemos intención de vender (aún) Elemendas y hacer un exit de esos modernos. Aunque viendo el historial de Automattic estos meses… igual viene Matt con la chequera pronto a vernos. En fin, que nos ha quedado una newsletter muy “vendible” y no se nos ocurría mejor asunto.

Seguir leyendo »

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

👋¡Hola, menda!

¿Quieres hablar con nosotros sobre algún tema?, ¿o sugerirnos algún plugin? Escríbenos desde este formulario y te atenderemos lo antes posible.

  • Responsable: Santiago Becerra Carrillo, titular del website elemendas.com.
  • Finalidad: Responder a tu consulta.
  • Legitimación: Consentimiento del interesado (es decir, tú), al enviar el formulario.
  • Destinatarios: Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal. En todo caso, los datos que nos facilitas están ubicados en servidores cuya sede se encuentra dentro del territorio de la UE o gestionados por Encargados de Tratamiento acogidos al acuerdo “Privacy Shield”, aprobado por el Comité Europeo de Protección de Datos. Nuestro proveedor de envío de mail es MailerLite.
  • Derechos: Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional.
  • Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y términos del servicio de Google.