Elementor heeft een kritieke kwetsbaarheid voor de uitvoering van externe code gepatcht die op 29 maart 2022 werd ontdekt door dreigingsanalist Ramuel Gall van Wordfence. Wordfence maakte de kwetsbaarheid bekend aan Elementor via het officiële e-mailadres voor contact met de beveiliging, maar kreeg geen tijdig antwoord. Op 11 april 2022 maakte Wordfence de kwetsbaarheid bekend aan het WordPress Plugins-team. Elementor heeft op 12 april 2022 een patch uitgebracht in versie 3.6.3.
Wordfence beschreef de kwetsbaarheid als "Onvoldoende toegangscontrole die leidt tot het uitvoeren van Subscriber+ Remote Code." Het kreeg een CVSS-score (Common Vulnerability Scoring System) van 9,9 (kritiek). De kwetsbaarheid treft de nieuwe onboarding-module van Elementor, die onlangs in versie 3.6.0 is geïntroduceerd.
Wordfence heeft een technische uitleg gepubliceerd over hoe een aanvaller ongeoorloofde toegang kan krijgen:
De module gebruikt een ongebruikelijke methode om AJAX-acties te registreren, door een admin_init-listener in zijn constructor toe te voegen die eerst controleert of een verzoek al dan niet naar het AJAX-eindpunt was en een geldige nonce bevat voordat de functie misschien_handle_ajax wordt aangeroepen.
Helaas werden er geen capaciteitscontroles gebruikt in de kwetsbare versies. Er zijn een aantal manieren waarop een geverifieerde gebruiker de Ajax::NONCE_KEY kan verkrijgen, maar een van de eenvoudigste manieren is om de bron van het beheerdersdashboard te bekijken als een ingelogde gebruiker, aangezien deze aanwezig is voor alle geverifieerde gebruikers, zelfs voor gebruikers op abonneeniveau.
Elementor is geïnstalleerd op meer dan vijf miljoen WordPress-sites, maar deze specifieke kwetsbaarheid treft versies 3.6.0 – 3.6.2. Volgens de statistieken van de huidige actieve versies van de plug-in zou dit hoogstens ongeveer 34% van de gebruikers treffen. Nu de kwetsbaarheid openbaar is, wordt gebruikers van Elementor geadviseerd om onmiddellijk te updaten naar versie 3.6.3 of hoger. Volgens de changelog van de plug-in is een gerelateerde beveiligingsoplossing meegeleverd met versie 3.6.4: "Fix: Geoptimaliseerde controles opschonen om een beter beveiligingsbeleid af te dwingen in de Onboarding-wizard."