El complemento Qi Addons For Elementor para WordPress es vulnerable a Inclusión de Archivos Remotos en todas las versiones hasta, e incluyendo, la 1.7.2 a través de los atributos ‘behavior’ encontrados en el shortcode qi_addons_for_elementor_blog_list. Esto permite a atacantes autenticados, con acceso de nivel Colaborador y superior, incluir archivos remotos en el servidor, lo que resulta en ejecución de código.
Esto requiere que un atacante cree un directorio inexistente o apunte a una instancia donde file_exists no devuelva false con un directorio inexistente en la ruta, para explotar con éxito. Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión del complemento Qi Addons For Elementor (superior a la versión 1.7.2) que solucione esta vulnerabilidad. Además, se sugiere restringir estrictamente los permisos de los usuarios para minimizar el riesgo de que atacantes autenticados puedan aprovechar esta vulnerabilidad.
Es crucial mantener todos los complementos y temas de WordPress actualizados para protegerse contra posibles vulnerabilidades de seguridad. Al tomar medidas proactivas y seguir las mejores prácticas de seguridad, se puede reducir significativamente la exposición a riesgos en un sitio web de WordPress.