El plugin ElementsKit Elementor addons para WordPress es vulnerable a la Inclusión de Archivos Locales en todas las versiones hasta, e incluyendo, la 3.0.6 a través de la función render_raw. Esto permite a atacantes autenticados, con acceso de nivel de colaborador y superior, incluir y ejecutar archivos arbitrarios en el servidor, lo que permite la ejecución de cualquier código PHP en esos archivos. Esto se puede utilizar para evadir controles de acceso, obtener datos sensibles o lograr la ejecución de código en casos en los que se pueden subir e incluir imágenes y otros tipos de archivos “seguros”.
La vulnerabilidad de Inclusión de Archivos Locales en ElementsKit Elementor addons hasta la versión 3.0.6 a través de la función render_raw es crítica ya que permite a atacantes autenticados ejecutar código arbitrario en el servidor. Para mitigar este riesgo, se recomienda actualizar el plugin a una versión que contenga una solución para este problema. Además, se pueden implementar medidas de seguridad adicionales como limitar el acceso de los usuarios a funciones sensibles, monitorear de cerca las actividades del sitio en busca de comportamientos sospechosos y restringir la carga e inclusión de archivos solo a tipos de archivos seguros y confiables.
Es fundamental para los usuarios de ElementsKit Elementor addons estar al tanto de esta vulnerabilidad de Inclusión de Archivos Locales para proteger sus sitios de posibles ataques. Tomar medidas proactivas, como mantener los plugins actualizados y seguir buenas prácticas de seguridad, puede ayudar a prevenir incidentes de seguridad y garantizar la integridad de los sitios de WordPress.