da Hardware Upgrade :
“Essential Addons for Elementor“, uno dei plug-in pi popolari di
WordPress, ha mostrato una vulnerabilit di sorpasso di autorizzazioni che
potrebbe consentire ad attaccanti remoti di guadagnare un accesso
amministratore al sito web su cui installato il plugin. Utilizzato su
oltre un milione di siti web, Essential Addons for Elementor una
libreria di 90 estensioni per il generatore di pagine Elementor.
La vulnerabilit stata individuata da PatchStack lo scorso 8 maggio ed
tracciata con la sigla CVE-2023-32243. Pi nello specifico si
tratta di una vulnerabilit di privilege escalation non autenticati sulla
funzionalit di rempostazione della password dei plugin e interessa le
versioni da 5.4.0 a 5.7.1.
La falla, quando sfruttata, pu permettere di reimpostare la password di
qualsiasi utente di cui si conosca il nome: questo pu avvenire anche
reimpostando la password di un account sviluppatore cos da accedere al
sito con i suoi permessi. “La vulnerabilit si verifica perch questa
funzione di reimpostazione della password non convalida una chiave e
invece modifica direttamente la password dell’utente indicato” scrive
PatchStack.
E’ immediatamente intuibile quali possano essere le conseguenze e la loro
gravit: accesso non autorizzato ad informazioni private, defacing,
compromissione o eliminazione di siti web, diffusione di malware e
eventuali danni di immagine.
PatchStack ha pubblicato una serie di dettagli tecnici che spiegano in
che modo sia possibile sfruttare la vulnerabilit, questo perch il plugin
Essential
Addons for Elementor gi stato aggiornato alla
versione 5.7.2 che risolve il problema. Il consiglio, per tutti
coloro i quali fanno uso di questo plugin, quello di aggiornare
immediatamente all’ultima versione per mettersi cos al riparo da problemi
e inconvenienti.