El equipo de Wordfence ha publicado detalles acerca de una vulnerabilidad crítica que afecta a los complementos y plantillas de Royal Elementor. Se trata de un 0-day, identificado como CVE-2023-5360 y CVSS 9.8, que permitiría a atacantes no autenticados realizar cargas de archivos arbitrarios en sitios vulnerables para lograr la ejecución remota de código. Si bien el complemento dispone de una validación de extensión para limitar las cargas a archivos específicos, los atacantes pueden manipular la lista para evitar las comprobaciones. Según Wordfence y WPScan, el fallo estaría siendo explotado desde el 30 de agosto, aumentando su volumen de ataque a partir del pasado 3 de octubre. Se recomienda a todos los usuarios que utilicen el complemento que actualicen a la versión 1.3.79 de Royal Elementor Addons and Templates.

Leer más »

Tomado del Boletín de Noticias de Ciberseguridad – Global 17/10/2023
2023 © Telefónica Cyber Security & Cloud Tech S.L.U.