Tem sido relatado um bug WordPress em sites que combinam o plugin Elementor Pro com o componente WooCommerce, utilizado em lojas online.
O plugin Elementor Pro permite criar páginas com aspecto profissional, sem precisar necessariamente escrever linhas de código, enquanto o módulo WooCommerce viabiliza a inserção de meios de pagamento em páginas de venda.
Há problemas em um módulo de controle de acesso, denominado “elementor-pro/modules/woocommerce/module.php”, que permite que o banco de dados do site seja alterado sem a devida validação. Com essa brecha, alguém com permissão de inserir conteúdos no site, pode alterar a sua permissão para administrador e tomar conta de todo o serviço, com a possibilidade de redirecionar o tráfego, dentre outros golpes.
Mesmo sites que não utilizam o WooCommerce podem ser afetados, uma vez que alguém com uma conta não administrativa pode adicionar o componente em uma página e utilizá-lo para escalar a sua permissão.
Esta vulnerabilidade foi corrigida a partir da versão 3.11.7 do Elementor Pro, já do lado do WooCommerce, o WordPress forçou uma atualização para as lojas online vulneráveis. De toda forma, se você utiliza o Elementor Pro, vale a pena conferir a versão e atualizar para a mais recente.