O plugin permite aos utilizadores sem conhecimentos de programação construir sites semelhantes aos profissionais, com funcionalidades como drag and drop, construção de temas, colecionar templates, suporte de widgets e um componente de woocommerce para lojas online.

Descrição da falha

Designadamente um controlo partido de acesso no ficheiro elementor-pro/modules/woocommerce/module.php, pertencente ao componente de woocommerce, que permitia a qualquer tipo de utilizador, incluindo os clientes de loja alterar as configurações do site ou mesmo tomar o controlo do mesmo. Isto, mporque permitia alterar a base de dados sem qualuer tipo de validação. O atacante podia fazer uma chamada específica a este ficheiro incluindo uma opção - pro_woocommerce_update_page_option - a partir da qual poderia realizar as alterações que entendesse.

Versões vulneráveis

v3.11.6 e anteriores

Versão corrigida

3.11.7 ou posteriores

Mais pormenores técnicos: https://blog.nintechnet.com/high-severity-vulnerability-fixed-in-wordpress-elementor-pro-plugin/