El plugin ElementsKit PRO para WordPress es vulnerable a Falsificación de Petición del Servidor en versiones hasta, e incluyendo, 3.6.2 a través de la función ‘render_raw’. Esto puede permitir a atacantes autenticados, con permisos de contribuyente y superiores, realizar solicitudes web a ubicaciones arbitrarias originadas desde la aplicación web y se puede utilizar para consultar y modificar información de servicios internos.
La vulnerabilidad de SSRF puede ser explotada por atacantes autenticados para realizar ataques desde el servidor hacia sistemas internos, como servidores de bases de datos o de archivos, con el objetivo de obtener información sensible o realizar acciones maliciosas. Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin ElementsKit PRO a la última versión disponible, así como restringir los permisos de los usuarios en WordPress para limitar el impacto de posibles ataques.
Es fundamental mantener todos los plugins y temas de WordPress actualizados a la última versión para protegerse contra vulnerabilidades conocidas. Además, se debe implementar políticas de seguridad sólidas y limitar los permisos de los usuarios para reducir las posibilidades de explotación de vulnerabilidades como la Falsificación de Petición del Servidor (SSRF).