El complemento de The Plus Addons for Elementor Page Builder para WordPress es vulnerable a la Inclusión de Archivos Locales en todas las versiones hasta, e incluyendo, la 5.5.6 a través del parámetro ‘magazine_style’ dentro del widget Dynamic Smart Showcase. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, incluir y ejecutar archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos.
La vulnerabilidad de Inclusión de Archivos Locales en The Plus Addons for Elementor puede ser explotada por atacantes autenticados para comprometer la seguridad del sitio web. Para mitigar este riesgo, se recomienda a los usuarios actualizar el complemento a la última versión disponible. Además, es importante restringir el acceso a contribuidores y usuarios con roles superiores para reducir el riesgo de explotación. Se debe monitorear de cerca cualquier actividad sospechosa en el sitio y estar al tanto de las actualizaciones de seguridad emitidas por el desarrollador del complemento.
La seguridad de un sitio web en WordPress es fundamental para proteger la integridad de la información y la experiencia del usuario. Los propietarios de sitios deben tomar medidas proactivas para mantener sus complementos actualizados y limitar el acceso de los usuarios a roles que no requieren capacidades de alto nivel. La conciencia sobre las vulnerabilidades conocidas y las mejores prácticas de seguridad contribuirán a mantener un entorno en línea seguro y protegido.