El plugin Essential Addons for Elementor para WordPress es vulnerable a la Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 5.9.13 a través de la deserialización de datos no confiables del atributo ‘error_resetpassword’ del widget ‘Login | Register Form’ (deshabilitado por defecto). Esto permite a atacantes autenticados, con acceso de nivel autor y superior, inyectar un Objeto PHP.
La vulnerabilidad CVE-2024-3018 afecta a los usuarios de Essential Addons for Elementor <= 5.9.13 y puede ser explotada por atacantes autenticados para realizar ataques de Inyección de Objetos PHP. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible. Además, se recomienda monitorear de cerca la instalación de complementos y temas adicionales en el sistema para detectar cadenas POP potencialmente peligrosas.
Es fundamental que los usuarios de Essential Addons for Elementor <= 5.9.13 tomen medidas para proteger sus sitios web contra posibles ataques de Inyección de Objetos PHP. Mantener actualizados los plugins y temas, así como implementar prácticas sólidas de seguridad, son pasos clave para mitigar este riesgo de seguridad.