Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin Essential Addons for Elementor de WordPress, que permitiría a un atacante no autenticado realizar escalamiento de privilegios en el sitio web afectado.
La vulnerabilidad identificada como CVE-2023-32243, de severidad “Crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla de validación de una clave de restablecimiento de contraseña en la función reset_password del plugin Essential Addons for Elementor de WordPress. Esto permitiría a un atacante no autenticado realizar escalamiento de privilegios conociendo el correo electrónico o el nombre de usuario de una cuenta, reestablecer la contraseña de la cuenta correspondiente al sitio web afectado.
El producto afectado es:
- Plugin Essential Addons for Elementor, versión 5.4.0 5.7.1.
Recomendamos instalar las actualizaciones correspondientes provistas por WordPress en el siguiente enlace:
Referencias:
- https://thehackernews.com/2023/05/severe-security-flaw-exposes-over.html
- https://nvd.nist.gov/vuln/detail/CVE-2023-32243
- https://patchstack.com/articles/critical-privilege-escalation-in-essential-addons-for-elementor-plugin-affecting-1-million-sites/
- https://wordpress.org/plugins/essential-addons-for-elementor-lite/
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/essential-addons-for-elementor-lite/essential-addons-for-elementor-571-unauthenticated-arbitrary-password-reset-to-privilege-escalation