Плагин WordPress Royal Elementor позволяет хакерам эксплуатировать критическую уязвимость

Сразу две команды безопасности CMS WordPress сообщили о наличии в используемом для изменения внешнего вида сайта без навыков программирования Royal Elementor критической уязвимости. CVE-2023-5360 имеет оценку 9.8 по CVSS и активно эксплуатируется злоумышленниками.

Под угрозой находятся версии  Royal Elementor до 1.3.78. Сам инструмент пользуется популярностью у владельцев сайтов на WordPress и установлен ими более 200 тысяч раз.

Изначально плагин предполагает загрузку только определенных типов файлов. Используя данную уязвимость, злоумышленник может загрузить в CMS любой файл, обойдя данное ограничение. Таким способом можно добиться удаленного выполнения кода на скомпрометированном сайте.