Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
Identificada como CVE-2023-32243 la vulnerabilidad presente en la función de restablecimiento de contraseña del complemento Essential Addons en Elementor permite la modificación directa de la contraseña de un usuario sin la verificación adecuada. Como consecuencia, un atacante puede aprovechar esta debilidad para restablecer la contraseña de cualquier usuario en el sitio web afectado, incluso sin conocer la contraseña actual del usuario.
Las consecuencias de esta falla son significativas e incluyen acceso no autorizado a información privada, desfiguración o eliminación de sitios web, distribución de malware a visitantes y daños a la reputación como la pérdida de confianza.
Si bien el ataque no requiere autenticación para explotar la falla, se necesita conocer un nombre de usuario en el sistema al que apuntan para restablecer la contraseña maliciosa.
Recurso afectado
- Complemento Essential Addons para Elementor versiones 5.4.0 a 5.7.1
Solución
Actualizar el complemento Essential Addons para Elementor a la versión 5.7.2 o posterior.
Recomendaciones
Debido a que el ataque requiere conocer un usuario válido, se recomienda aplicar la guía de seguridad para sitios web desarrollados en Wordpress
Referencias
Nuevo error crítico en el complemento Elementor de WordPress