Elementor Plugin: Grave Vulnerability Patched in All Versions

  • Autor Autor Mega
  • Fecha de inicio Fecha de inicio
Mega

Mega

1
Sigma
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Verificado por Binance
¡Excelente comerciante!
¡Usuario popular!
Suscripción a IA
Recientemente se ha se descubierto una vulnerabilidad de alta gravedad 8.8/10 en el famoso plugin Elementor que podría permitir a un atacante cargar archivos en el servidor del sitio web y ejecutarlos. La vulnerabilidad está en la funcionalidad de carga de plantillas0

Podran hacerle seguimiento si es parcheado en el link de abajo, actualmente la unica opcion es desinstalarlo xD:

Elementor <= 3.18.1 - Authenticated(Contributor+) Arbitrary File Upload to Remote Code Execution via Template Import

www.wordfence.com

1701913409104.png


EDIT Parcheado en la version 3.18.2
 
Última edición:
Uy la mayoría de las páginas que trabajo están con elementor.
 
Mega dijo:
actualmente la unica opcion es desinstalarlo
Hacer clic para expandir...
Falso

El problema real es que wordfence ha bloqueado 3 plantillas de template kit con malware qué han intentado subir algunos usuarios

La única opción es no instalar template kits de ninguna fuente que no sea confiable y que solo usuarios de confianza y responsables tengan acceso a dicha función

Pero en si, esa función no es un malware ni vulnerabilidad

Es una opción por donde se puede colar malware como el ftp o gestor de archivos

Si bien elementor no tiene filtros en esta sección previo a subir un archivo de este tipo, si te avisa del riesgo

Pero no, no hay que desinstalar elementor

Pero bueno, a la vez sí, porque bricks es mejor 😅
 
David Morales dijo:
Falso

El problema real es que wordfence ha bloqueado 3 plantillas de template kit con malware qué han intentado subir algunos usuarios

La única opción es no instalar template kits de ninguna fuente que no sea confiable y que solo usuarios de confianza y responsables tengan acceso a dicha función

Pero en si, esa función no es un malware ni vulnerabilidad

Es una opción por donde se puede colar malware como el ftp o gestor de archivos

Si bien elementor no tiene filtros en esta sección previo a subir un archivo de este tipo, si te avisa del riesgo

Pero no, no hay que desinstalar elementor

Pero bueno, a la vez sí, porque bricks es mejor 😅
Hacer clic para expandir...
Gracias por la aclaración
 
David Morales dijo:
Falso

El problema real es que wordfence ha bloqueado 3 plantillas de template kit con malware qué han intentado subir algunos usuarios

La única opción es no instalar template kits de ninguna fuente que no sea confiable y que solo usuarios de confianza y responsables tengan acceso a dicha función

Pero en si, esa función no es un malware ni vulnerabilidad

Es una opción por donde se puede colar malware como el ftp o gestor de archivos

Si bien elementor no tiene filtros en esta sección previo a subir un archivo de este tipo, si te avisa del riesgo

Pero no, no hay que desinstalar elementor

Pero bueno, a la vez sí, porque bricks es mejor 😅
Hacer clic para expandir...
Nunca he probado bricks, pero he estado probando Breakdance, hasta ahora me ha funcionado bien, son de los mismos que crearon oxygen, Elementor cada día más pesado y más caro, por eso decidí darle una probada a otros constructores, realmente es muy bueno bricks?
 
David Morales dijo:
Reemplazó a Oxygen en el mercado, Breakdance no le llega a los pies a Bricks
Hacer clic para expandir...
De hecho , ahorita oxygen están poniéndose las pilas pero lo dudo ya que hay que tomar toda la confianza de nuevo , y dudo que eso pase además se tienen que expandir y tomar batalla con bricks , yo siempre lo sigo usando pero al veces me gustaría usar bricks para algunos woocomerce ya que oxygen no te da algunas funcionalidades como en bricks ejemplo personalizar el login de woocomerce
 
Sabéis si sigue esta vulnerabilidad o fue corregida ?
 
David Morales dijo:
Falso

El problema real es que wordfence ha bloqueado 3 plantillas de template kit con malware qué han intentado subir algunos usuarios

La única opción es no instalar template kits de ninguna fuente que no sea confiable y que solo usuarios de confianza y responsables tengan acceso a dicha función

Pero en si, esa función no es un malware ni vulnerabilidad

Es una opción por donde se puede colar malware como el ftp o gestor de archivos

Si bien elementor no tiene filtros en esta sección previo a subir un archivo de este tipo, si te avisa del riesgo

Pero no, no hay que desinstalar elementor

Pero bueno, a la vez sí, porque bricks es mejor 😅
Hacer clic para expandir...
Gracias por la aclaración, yo personalmente tambien utilizo elementor en varios proyectos pero como dicen los compañeros cada vez es más caro y más pesado.
Ahora estoy probando con spectra, un constructor basado en gutenberg bastante más liviano.
 
splanding dijo:
Nunca he probado bricks, pero he estado probando Breakdance, hasta ahora me ha funcionado bien, son de los mismos que crearon oxygen, Elementor cada día más pesado y más caro, por eso decidí darle una probada a otros constructores, realmente es muy bueno bricks?
Hacer clic para expandir...
Hola, qué otros constructores usas? También me parece costoso elementor aunque he visto que por aquí venden las licencias más baratas...
 
Pabloduran dijo:
Hola, qué otros constructores usas? También me parece costoso elementor aunque he visto que por aquí venden las licencias más baratas...
Hacer clic para expandir...
Solia usar elementor, pero recientemente me cambie a https://breakdance.com/ Aunque creo que comprare bricks para ver si es realmente bueno jajaja
 
splanding dijo:
Solia usar elementor, pero recientemente me cambie a https://breakdance.com/ Aunque creo que comprare bricks para ver si es realmente bueno jajaja
Hacer clic para expandir...
Es que es lo ideal ahora bricks ahora tiene una comunidad que no es un juego , tienen un equipo bueno , escuchan la comúnidad y hay addons y sets de todo y se crean producto nuevos de forma mensual
 
Mega dijo:
Recientemente se ha se descubierto una vulnerabilidad de alta gravedad 8.8/10 en el famoso plugin Elementor que podría permitir a un atacante cargar archivos en el servidor del sitio web y ejecutarlos. La vulnerabilidad está en la funcionalidad de carga de plantillas0

Podran hacerle seguimiento si es parcheado en el link de abajo, actualmente la unica opcion es desinstalarlo xD:

Elementor <= 3.18.1 - Authenticated(Contributor+) Arbitrary File Upload to Remote Code Execution via Template Import

www.wordfence.com

Ver el archivo adjunto 1153095
Hacer clic para expandir...
Ya lo había visto antes de que fuera publicado, siempre llega el mass infect y los clientes vueltos locos con sitios infectados el cual no entienden por qué :/ pero nada, a ganar money por desinfectar y seguir asesorando, no hay de otra.
 
Avisan cuando haya uno que logre abrir un Reverse Shell.
 
Sera por eso que cuando intente actualizar ese pluggin se me cayo la web?

tuve que restaurarla, ahora tengo esa duda. 😳
Carlos Frias dijo:
Ya lo había visto antes de que fuera publicado, siempre llega el mass infect y los clientes vueltos locos con sitios infectados el cual no entienden por qué :/ pero nada, a ganar money por desinfectar y seguir asesorando, no hay de otra.
Hacer clic para expandir...
 
Michkaparov dijo:
Sera por eso que cuando intente actualizar ese pluggin se me cayo la web?

tuve que restaurarla, ahora tengo esa duda. 😳
Hacer clic para expandir...
puede ser, igual hay que ver los resources de tu server tbm
 
David Morales dijo:
Falso

El problema real es que wordfence ha bloqueado 3 plantillas de template kit con malware qué han intentado subir algunos usuarios

La única opción es no instalar template kits de ninguna fuente que no sea confiable y que solo usuarios de confianza y responsables tengan acceso a dicha función

Pero en si, esa función no es un malware ni vulnerabilidad

Es una opción por donde se puede colar malware como el ftp o gestor de archivos

Si bien elementor no tiene filtros en esta sección previo a subir un archivo de este tipo, si te avisa del riesgo

Pero no, no hay que desinstalar elementor

Pero bueno, a la vez sí, porque bricks es mejor 😅
Hacer clic para expandir...
Llevo trabajando con Bricks desde 2021 y a la versión actual a mejorado muchísimo, corrigieron los fallos que tenían con cloudflare y los complementos han aumentado enormemente.
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

Mega
Grave vulnerabilidad en plugin Google Fonts afecta WordPress
Respuestas
4
Visitas
297
PAU.digital
PAU.digital
Atrás
Arriba