PT-2024-11044 · WordPress · Essential Addons For Elementor
Chloe Chamberland
·
Publicado
2024-10-15
·
Atualizado
2025-01-10
·
CVE-2021-4447
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
O plugin Essential Addons for Elementor para versões do WordPress até a 4.6.4, inclusive
Descrição
O problema está relacionado à falta de restrições sobre quem pode adicionar um formulário de registro e uma função de registro personalizada a uma página criada pelo Elementor. Isso permite que invasores com acesso ao construtor de páginas Elementor criem um novo formulário de registro que, por padrão, define a função do usuário como administrador e, subsequentemente, se registrem como usuários administrativos.
Recomendações
Para versões até e incluindo a 4.6.4, atualize o plugin para a versão mais recente a fim de proteger o site. Como solução temporária, considere restringir o acesso ao construtor de páginas Elementor para minimizar o risco de exploração. Evite usar o recurso de formulário de registro no plugin afetado até que o problema seja resolvido.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Essential Addons For Elementor