El plugin ElementsKit Pro para WordPress es vulnerable a Inclusión Local de Archivos en todas las versiones hasta, e incluyendo, la 3.6.0 a través de los widgets Price Menu, Hotspot y Advanced Toggle. Esto permite a atacantes autenticados, con niveles de acceso de contribuidor y superiores, incluir y ejecutar archivos arbitrarios en el servidor, permitiendo la ejecución de código PHP en esos archivos.
Esto puede ser utilizado para evitar controles de acceso, obtener datos sensibles o lograr ejecución de código en casos donde imágenes y otros tipos de archivos ‘seguros’ pueden ser subidos e incluidos.
Los usuarios afectados por esta vulnerabilidad deben actualizar de inmediato su plugin ElementsKit Pro a la versión 3.6.1 o superior para mitigar este riesgo de seguridad. Además, se recomienda limitar los privilegios de los roles de contribuidor y revisar regularmente los archivos que se incluyen en los widgets afectados para evitar la explotación de esta vulnerabilidad.