Critical Remote Code Execution Vulnerability in Elementor
Esta es de las gordas, los de Elemetor llevan un par de meses complicados, solucionando bugs … «allowed any authenticated user to upload arbitrary PHP code».
Hay que actualizar a la versión 3.6.3 (la sacaron ayer, y funciona bien (al menos en mis webs).
https://elementor.com/help/known-bugs-and-user-experience-issues/