Hack Alerta

Backdoor em plugin Elementor afeta 20 mil sites; CVE-2026-0920 é crítico

Por Redação Hack Alerta Publicado em 23/01/2026 18:02 Riscos e Ameaças Tempo de leitura: 3 min

Foi identificado um backdoor crítico (CVE‑2026‑0920, CVSS 9.8) no plugin LA‑Studio Element Kit para Elementor que permitia a criação de contas administrativas sem autenticação. A falha afeta versões ≤1.5.6.3; a correção (1.6.0) foi publicada em 14/01/2026. Administradores devem atualizar, auditar contas e procurar sinais de comprometimento.

Resumo

Pesquisadores identificaram um backdoor crítico no plugin LA‑Studio Element Kit para Elementor que permitia criação de contas administrativas sem autenticação. A falha foi registrada como CVE‑2026‑0920, recebeu CVSS 9.8 e afeta todas as versões até 1.5.6.3; a correção foi liberada na versão 1.6.0.

Descoberta e escopo

O problema foi descoberto em 12 de janeiro de 2026 por pesquisadores que reportaram via o programa Wordfence Bug Bounty. O plugin em questão tem mais de 20.000 instalações ativas, segundo a análise publicada. Wordfence identificou a vulnerabilidade no fluxo de registro de usuários, especificamente na função ajax_register_handle, que foi modificada para aceitar um parâmetro oculto (lakit_bkrole) e atribuir privilégios de administrador.

Origem e método

De acordo com os detalhes tornados públicos, o backdoor foi inserido por um desenvolvedor que havia deixado a equipe no final de dezembro de 2025. O código malicioso foi deliberadamente ofuscado por meio de manipulações de strings e chamadas indiretas, o que dificultou a detecção em revisões de código comuns.

Impacto e riscos operacionais

  • Escalada de privilégios não autenticada: qualquer atacante capaz de enviar uma requisição de registro construída com o parâmetro malicioso podia criar um usuário administrador.
  • Comprometimento completo do site: com acesso administrativo, invasores podem implantar backdoors adicionais, modificar conteúdo, subir arquivos maliciosos e redirecionar tráfego.
  • Amplitude: com 20.000+ instalações, o vetor representa risco material para sites corporativos e de clientes que utilizem o plugin sem atualização.

Mitigação e ações recomendadas

O autor do plugin publicou a versão 1.6.0 em 14 de janeiro de 2026, dois dias após o reporte. Wordfence disponibilizou regras de proteção em suas versões premium e gratuitas (proteção premium a partir de 13 de janeiro; free em 12 de fevereiro, conforme publicação). Recomenda-se que administradores:

  • Atualizem imediatamente o plugin para a versão 1.6.0 ou removam o plugin quando indisponível.
  • Verifiquem a presença de contas administrativas criadas recentemente e revejam logs de registro e actividades administrativas.
  • Auditem o código do tema e plugins para encontrar possíveis instâncias de código ofuscado.
  • Rotacionem credenciais e chaves que possam ter sido expostas através de acessos indevidos.

Limitações das informações públicas

A cobertura documenta o mecanismo do backdoor e o vetor (parâmetro lakit_bkrole), mas não há na fonte pública uma lista completa de sites comprometidos ou evidências de exploração massiva in the wild. Wordfence e o desenvolvedor disponibilizaram a correção; faltam informações sobre incidentes confirmados de abuso em escala.

Observações finais

O caso destaca riscos de ameaças internas (inserção deliberada de backdoor por colaborador) e a necessidade de controles de revisão de código e processos de desligamento. Administradores de sites em WordPress devem agir com prioridade quando plug-ins com histórico de alterações por colaboradores recentes são usados em ambientes de produção.

Fonte: Cyber Security News / Wordfence (reportagem de Tushar Subhra Dutta).
Baseado em publicação original de Cyber Security News
Tags: #wordpress #elementor #backdoor #cve-2026-0920 #plugin #seguranca #wordfence #ofuscacao #admin
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar