Olá querido cliente, inserimos a seguir o relatório da Wordfence sobre o plugin Elementor:
Em 6 de dezembro de 2023, a equipe da Wordfence notou uma entrada de registro de mudanças para a versão 3.18.1 do Elementor, um plugin do WordPress instalado em quase 9 milhões de sites. Não descobrimos a vulnerabilidade original e só tomamos conhecimento dela após revisar o registro de mudanças que continha um patch parcial. Imediatamente, lançamos uma regra de firewall para os clientes do Wordfence Premium, Wordfence Care e Wordfence Response. A regra de firewall será disponibilizada para os usuários gratuitos do Wordfence 30 dias depois, em 5 de janeiro de 2023.
Após uma análise mais aprofundada da vulnerabilidade, determinamos que o patch era insuficiente e ainda poderia ser explorado, embora fosse mais difícil.
Entramos em contato imediatamente com a equipe do Elementor no mesmo dia, em 6 de dezembro de 2023, para informá-los de que o patch não resolveu completamente o problema. O Elementor lançou um patch suficiente na versão 3.18.2 em 8 de dezembro de 2023. Elogiamos a equipe do Elementor por sua rápida resposta a esta situação.
Felizmente, a vulnerabilidade, embora grave, requer privilégios de nível de Colaborador ou superior para ser explorada, o que minimiza o número de sites provavelmente afetados. Poucos sites usam Colaboradores, e os atacantes precisariam ser capazes de se registrar como um colaborador ou usuário de nível superior, ou obter credenciais válidas para uma conta de usuário de nível de colaborador+ para explorar essa vulnerabilidade.
