El plugin ElementsKit Elementor addons para WordPress es vulnerable a la Inclusión Local de Archivos en todas las versiones hasta, e incluyendo, la 3.1.0 a través de la función generate_navigation_markup del módulo Onepage Scroll. Esto permite a atacantes autenticados, con acceso de nivel contribuyente y superior, incluir y ejecutar archivos arbitrarios en el servidor, lo que permite la ejecución de cualquier código PHP en esos archivos.
Se recomienda a los usuarios actualizar a la última versión del plugin ElementsKit para mitigar esta vulnerabilidad. Además, se debe restringir los permisos de acceso de los usuarios, especialmente de aquellos con privilegios de contribuyente o superiores, para reducir el riesgo de explotación. También se aconseja monitorear de cerca cualquier actividad sospechosa en el sitio web que pueda indicar intentos de explotar esta vulnerabilidad.
La Inclusión Local de Archivos es una vulnerabilidad seria que puede ser aprovechada por atacantes para comprometer la seguridad de un sitio web. Al tomar medidas proactivas, como mantener todos los plugins actualizados y limitar los privilegios de los usuarios, se puede reducir el riesgo de explotación y proteger la integridad del sistema.