Agentes de ameaças desconhecidos estão explorando ativamente uma falha de segurança corrigida recentemente no plug-in do construtor de sites Elementor Pro para WordPress.

A falha, descrita como um caso de controle de acesso quebrado, afeta as versões 3.11.6 e anteriores. Foi resolvido pelos mantenedores do plug-in na versão 3.11.7 lançada em 22 de março.

A exploração bem-sucedida da falha de alta gravidade permite que um invasor autenticado conclua a aquisição de um site WordPress. Segundo o pesquisador de segurança Jerome Bruandet, a falha está sendo abusada atualmente por vários endereços IP com a intenção de fazer upload de arquivos PHP e ZIP arbitrários.

Recomenda-se que os usuários do plug-in Elementor Pro atualizem para 3.11.7 ou 3.12.0, que é a versão mais recente, o mais rápido possível para mitigar possíveis ameaças.

Na semana passada, o WordPress emitiu atualizações automáticas para corrigir outro bug crítico no plug-in WooCommerce Payments que permitia que invasores não autenticados obtivessem acesso de administrador a sites vulneráveis.