Escalada crítica de privilegios para el plugin Essential Addons for Elementor de WordPress
AS-035-2023
Fecha: 15/May/2023
Resumen:
Escalada crítica de privilegios para el plugin Essential Addons for Elementor de WordPress que afecta a más de 1 millones de sitios.
La falla se descubrió el 8 de mayo de 2023 y se rastrea como CVE-2023-32243. Es una vulnerabilidad de escalada de privilegios no autenticada en la funcionalidad de restablecimiento de contraseña del complemento, que afecta a las versiones 5.4.0 a 5.7.1.
En el boletín de PatchStack se lee que es posible restablecer la contraseña de cualquier usuario siempre que sepamos su nombre de usuario, pudiendo así restablecer la contraseña del administrador e iniciar sesión en su cuenta.
Las consecuencias de esta falla son significativas e incluyen acceso no autorizado a información privada, desfiguración o eliminación de sitios web, distribución de malware a los visitantes y repercusiones en la marca, como pérdida de confianza y problemas de cumplimiento legal.
Recomendación
Actualizar el plugin al menos a la versión 5.7.2
Referencias: