Si usas WordPress y tienes instalado el plugin Essential Addons for Elementor, es hora de prestar atención. Más de 2 millones de sitios están en riesgo debido a vulnerabilidades de seguridad recientemente descubiertas.
¿Cuál es el problema con Essential Addons for Elementor?
Investigadores de seguridad han publicado una advertencia sobre dos vulnerabilidades de Cross-Site Scripting (XSS) almacenadas en este popular plugin. Estas vulnerabilidades permitirían a los atacantes inyectar scripts maliciosos en sitios web de WordPress.
El origen de estas vulnerabilidades radica en la insuficiente sanitización y escape de salida de datos, lo que básicamente significa que el plugin no filtra adecuadamente los inputs peligrosos como textos o imágenes.
Los widgets problemáticos
Las fallas se encuentran en dos widgets específicos del plugin:
- Countdown Widget
- Woo Product Carousel Widget
Essential Addons es conocido por ampliar las capacidades del constructor de páginas de WordPress, Elementor, añadiendo características y widgets adicionales.
La vulnerabilidad al detalle
Según el aviso de Wordfence, estas vulnerabilidades de XSS almacenado permitirían a un atacante subir un script malicioso y atacar a los visitantes del sitio web, pudiendo incluso tomar control del sitio al robar cookies de sesión.
Este tipo de vulnerabilidades son comunes y surgen por no sanitizar correctamente los campos que aceptan inputs. Además, un fallo en el «escape de output» aumenta el riesgo, permitiendo que datos no deseados lleguen al navegador del usuario.
¿Cómo afecta esto a tu sitio?
Wordfence advirtió especialmente sobre el widget de cuenta atrás y el widget de carrusel de productos de Woo, destacando que atacantes autenticados (es decir, aquellos que ya tienen credenciales de sitio web) podrían explotar estas vulnerabilidades.
¿Qué deberías hacer?
La vulnerabilidad se considera de nivel medio, con una puntuación de 6.4 sobre 10. Si tu sitio utiliza una versión del plugin de 5.9.11 o inferior, es recomendable actualizar a la última versión disponible, actualmente la 5.9.13.
Además de actualizar, es esencial mantenerse informado sobre prácticas de seguridad en WordPress para proteger tu sitio. Recordemos que en el mundo digital, prevenir es siempre mejor que curar.
Fuente:https://www.searchenginejournal.com/2m-wordpress-sites-hit-by-essential-addons-for-elementor-vulnerability/512223/