Vulnerabilidade de Backdoor Afeta 20.000 Sites WordPress
Uma nova vulnerabilidade de backdoor no plugin LA-Studio Element Kit afeta mais de 20.000 sites WordPress. Entenda os riscos e como se proteger.
Vulnerabilidade de Backdoor Afeta 20,000 Sites WordPress com LA-Studio Element Kit
No dia 12 de janeiro de 2026, foi identificada uma vulnerabilidade de backdoor no LA-Studio Element Kit para Elementor, um plugin WordPress com mais de 20.000 instalações ativas. Essa vulnerabilidade permite que um atacante não autenticado crie usuários administradores maliciosos.
Reconhecimento aos Pesquisadores
Um agradecimento especial a Athiwat Tiprasaharn (Jitlada), Itthidej Aramsri (Boeing777) e Waris Damkham, que descobriram e relataram essa vulnerabilidade de forma responsável através do Programa de Recompensas de Bugs da Wordfence. Esses pesquisadores ganharam uma recompensa de $975,00 por essa descoberta.
Compromisso com a Segurança do WordPress
A missão da Wordfence é garantir a segurança do WordPress através de uma defesa em profundidade. Estamos investindo em pesquisa de vulnerabilidades de qualidade e colaborando com pesquisadores de alto nível através do nosso Programa de Recompensas. Nossa meta é tornar o ecossistema WordPress mais seguro por meio da detecção e prevenção de vulnerabilidades.
Atualizações de Segurança
Usuários do Wordfence Premium, Wordfence Care e Wordfence Response receberam uma regra de firewall para proteger contra possíveis explorações dessa vulnerabilidade em 13 de janeiro de 2026. Os sites que utilizam a versão gratuita do Wordfence receberão a mesma proteção 30 dias depois, em 12 de fevereiro de 2026.
Divulgação Imediata da Vulnerabilidade
Fornecemos detalhes completos sobre a vulnerabilidade à equipe da LA-Studio imediatamente através do Portal de Gestão de Vulnerabilidades da Wordfence em 13 de janeiro de 2026. O fornecedor reconheceu o relatório e lançou o patch em 14 de janeiro de 2026. Agradecemos à equipe da LA-Studio pela resposta ágil e pelo patch oportuno.
Origem da Vulnerabilidade
O fornecedor informou, em resposta à nossa consulta, que um ex-funcionário adicionou o código de backdoor ao plugin. O vínculo do desenvolvedor com a empresa foi encerrado no final de dezembro e a última alteração no backdoor foi feita nesse período. Isso serve como um lembrete importante sobre ameaças internas e a necessidade de controles adequados durante demissões, assim como a monitorização regular das atividades dos membros da equipe.
Recomendações para Usuários
Recomendamos fortemente que os usuários atualizem seus sites para a versão corrigida do LA-Studio Element Kit para Elementor, versão 1.6.0, o mais rápido possível.
Resumo da Vulnerabilidade
Vulnerabilidade: LA-Studio Element Kit para Elementor <= 1.5.6.3 – Escalada de Privilégios Não Autenticada via Backdoor para Criação de Usuário Administrativo
Classificação CVSS: 9.8 (Crítica)
ID CVE: CVE-2026-0920
Versões Afetadas: <= 1.5.6.3
Versão Corrigida: 1.6.0
Recompensa: $975.00
Software Atingido
Informações Adicionais
Para mais informações sobre como proteger seu site WordPress, acesse nossas páginas sobre SEO, criação de sites e tráfego pago. A segurança deve ser uma prioridade para todos os administradores de sites, e estar atento a vulnerabilidades é essencial para garantir a integridade e a segurança das informações.
📰 Fonte Original
Este artigo foi baseado em informações publicadas por Wordfence em 21/01/2026.
🔗 Ler artigo original →
