Pesquisadores do PatchStack descobriram uma vulnerabilidade crítica de execução remota de código (RCE) no Essential Addons for Elementor, um plug-in popular do WordPress utilizado em mais de um milhão de sites. A vulnerabilidade está presente na versão 5.0.4 e anteriores.

A vulnerabilidade permite que um usuário não autenticado execute um ataque de inclusão de arquivo local, como um arquivo PHP, para executar código no site.

Segundo os pesquisadores, essa vulnerabilidade existe devido a forma como os dados de entrada do usuário são usados dentro da função include do PHP, que faz parte das funções ajax_load_more e ajax_eael_product_gallery.
O único pré-requisito para o ataque é que o site tenha os widgets “galeria dinâmica” e “galeria de produtos” habilitados.