Os desenvolvedores do Plugin elFinder File Manager do WordPress, corrigiram uma vulnerabilidade crítica que poderia causar a invasão total do site.
Atualmente o Plugin está sendo usado em cerca de 700 mil sites ativos. O plugin foi atualizado no dia 1 de Setembro de 2020 com a correção do problema.
A vulnerabilidade foi encontrada na versão 6.4 do Plugin lançada em 5 de Maio. De acordo com a equipe de segurança do Sucuri, o problema originou-se dos restos de um ambiente de desenvolvimento na versão 6.4 quase 4 meses atrás, onde um arquivo foi renomeado para testar certos recursos.
Plugin elFinder
Por se tratar de um Plugin de gerenciamento de arquivos ele dá privilégios elevados a qualquer pessoa que tem acesso aos seus recursos, com isso um invasor poderia enviar, modificar e excluir qualquer arquivo dentro do painel do seu WordPress. O invasor pode usar alguma senha comprometida em seu sistema e tomar o acesso do mesmo enviando arquivos maliciosos para seu WordPress, comprometendo totalmente seu site.
Para uma maior segurança sugerimos a remoção de Plugins de gerenciamentos de arquivos quando não forem usados e caso esteja usando o Plugin elFinder, atualize o remova imediatamente do seu WordPress.
