Nas últimas semanas, a equipe do Wordfence Threat Intelligence divulgou vulnerabilidades em mais de 15 dos plug-ins de addon mais populares do Elementor , que são instalados coletivamente em mais de 3,5 milhões de sites. Juntos, nossa equipe encontrou mais de 100 endpoints vulneráveis.
Essas vulnerabilidades de Cross-Site Scripting armazenadas eram semelhantes em execução ao vulnerabilidades publicadas recentemente no plug-in Elementor principal. Eles permitiam que qualquer usuário pudesse acessar o editor Elementor, incluindo colaboradores, para adicionar JavaScript às postagens. Este JavaScript seria executado se a postagem fosse visualizada, editada ou visualizada por qualquer outro usuário do site e poderia ser usado para assumir o controle de um site se a vítima fosse um administrador.
Essas vulnerabilidades são cobertas pela mesma regra de firewall do Wordfence que criamos para a vulnerabilidade Elementor original, que está disponível para usuários gratuitos do Wordfence desde 25 de março de 2021.
Quais plug-ins foram afetados?
Encontramos as mesmas vulnerabilidades em quase todos os plug-ins que revisamos e que adicionam elementos ao construtor de páginas Elementor.
Tentamos notificar os desenvolvedores e editores sobre o maior número possível de plug-ins vulneráveis e os aconselhamos a revisar seus plug-ins premium para problemas semelhantes.
Na maioria dos casos, os desenvolvedores de plug-ins que contatamos corrigiram rapidamente, mas alguns não responderam à nossa solicitação de contato inicial. Nesses casos, entramos em contato com o repositório de plug-ins do WordPress para que os plug-ins vulneráveis sejam revisados.
Devido ao grande número de plug-ins que adicionam novos elementos ao Elementor, alguns ainda podem estar vulneráveis, especialmente nos casos em que o código do plug-in não estava disponível gratuitamente para nossa análise, como é o caso de muitos plug-ins premium.
Observe que listamos apenas plug-ins que foram corrigidos no momento. Se o seu site estiver executando qualquer um desses plug-ins, recomendamos fortemente a atualização o mais rápido possível. Se o seu site está executando um plug-in que adiciona funcionalidade ao Elementor por meio de novos elementos ou widgets e não está listado aqui, recomendamos entrar em contato com o autor ou desenvolvedor do plug-in para verificar se eles auditaram o plug-in para esses problemas.
Plug-ins afetados : listados abaixo
Slugs de plug-in : listados abaixo
Versões afetadas : listadas abaixo
IDs CVE : Pendentes
Pontuação CVSS : 6,4 Médio
Vetor CVSS : CVSS: 3.1/AV: N/AC: L/PR: L/UI: N/S: C/C: L/I: L/A: N
Versões totalmente corrigidas : listadas abaixo
Complementos essenciais para Elementor ( Essential-addons-for-elementor-lite), 1M + Instalações
As versões <4.5.4 são vulneráveis, corrigidas na versão 4.5.4
Elementor-Cabeçalho, rodapé e modelo de blocos ( header-footer-elementor), 1M + Instalações
As versões <1.5.8 são vulneráveis, corrigidas na versão 1.5.8
Complementos finais para Elementor (ultimate-elementor), 600k + instalações
As versões <1.30.0 são vulneráveis, com patch na versão 1.30.0
Complementos premium para Elementor (premium-addons-for-elementor), 400k + instalações
As versões <4.2.8 são vulneráveis, corrigidas na versão 4.2.8
ElementsKit (elementskit-lite) e ElementsKit Pro (elementskit ), 300k + instalações
As versões <2.2.0 são vulneráveis, com patch na versão 2.2.0
Elementor Addon Elements (addon-elements-for-elementor-page-builder), 100k + instalações
As versões <1.11.2 são vulneráveis, com patch na versão 1.11.2
Complementos Livemesh para Elementor (addons-for-elementor), 100k + instalações
As versões <6.8 são vulneráveis, com patch na versão 6.8
HT Mega-Complementos absolutos para Elementor Page Builder (ht-mega-for-elementor), 70k + Instalações
As versões <1.5.7 são vulneráveis, com patch na versão 1.5.7
WooLentor-WooCommerce Elementor Addons + Builder (WooLentor-addons ), 50k + instalações
As versões <1.8.6 são vulneráveis, com patch na versão 1.8.6
Suplementos PowerPack para Elementor (powerpack-Lite-para-Elementor), 50k + Instalações
As versões <2.3.2 são vulneráveis, corrigidas na versão 2.3.2
Image Hover Effects-Elementor Addon (image-hover-effects-addon-for-elementor), 40k + Instalações
As versões <1.3.4 são vulneráveis, corrigidas na versão 1.3.4
Rife Elementor Extensions & Templates (rife-elementor-extensões), 30k + Instalações
As versões <1.1.6 são vulneráveis, com patch na versão 1.1.6
The Plus Addons para Elementor Page Builder Lite (the-plus-addons-for-elementor-page-builder), 30k + Instalações
As versões <2.0.6 são vulneráveis, com patch na versão 2.0.6
Complementos tudo-em-um para Elementor-WidgetKit (widgetkit-para-elementor), 20k + instalações
As versões <2.3.10 são vulneráveis, corrigidas na versão 2.3.10
JetWidgets For Elementor (jetwidgets-for-elementor ), Mais de 10k Instalações
As versões <1.0.9 são vulneráveis, com patch na versão 1.0.9
Extensão Sina para Elementor (sina-extensão para elementor), 10k + instalações
As versões <3.3.12 são vulneráveis, corrigidas na versão 3.3.12
DethemeKit For Elementor (dethemekit-for-elementor ), 8k + instalações
As versões <1.5.5.5 são vulneráveis, corrigidas na versão 1.5.5.5
Tal como acontece com as vulnerabilidades no plug-in Elementor principal, cada um desses plug-ins adicionava elementos que permitiam aos usuários selecionar uma tag HTML de um menu suspenso para adicionar formatação a um título ou outro texto. Infelizmente, as opções de tag não foram aplicadas no lado do servidor e seriam ecoadas ao exibir o elemento.
Um invasor pode, por exemplo, interceptar uma solicitação em que adicionou um elemento de título e alterar uma tag de título “H5” para uma tag de “script”. Em muitos casos, era possível adicionar JavaScript diretamente por meio de uma dessas tags, enquanto outros plug-ins impunham vários níveis de sanitização. Mesmo para plug-ins que realizavam sanitização na saída, muitas vezes ainda era possível definir o uso da tag HTML como um script de origem remota ou simplesmente definir a tag como”script”e colocar o JavaScript a ser executado no título real ou semelhante parâmetro.
Quem deve se preocupar com isso?
Sites que têm vários usuários que contribuem com conteúdo e estão executando uma versão sem patch de um dos plug-ins listados acima devem ser considerados em risco. Vulnerabilidades desse tipo provavelmente não serão exploradas em escala, mas são extremamente valiosas para invasores que visam sites individuais. Isso se aplica especialmente a sites de mídia de alto perfil ou outros sites que provavelmente serão visados especificamente por invasores. Se você for o único usuário do seu site, isso não o afetará.
Embora todas as vulnerabilidades em questão exijam que um invasor obtenha acesso a uma conta com pelo menos permissões de “contribuidor” para explorar, a função de contribuidor não é considerada confiável. Qualquer conteúdo escrito por colaboradores deve ser revisado por um Editor ou Administrador antes de ser publicado. Pode ser mais fácil para um invasor obter acesso a uma conta com privilégios de contribuidor do que obter credenciais administrativas, e uma vulnerabilidade desse tipo pode ser usada para realizar escalonamento de privilégios executando JavaScript em uma sessão de navegador do administrador de revisão.
Se você é um desenvolvedor de plug-ins ou editor que oferece plug-ins para estender a funcionalidade do Elementor por meio de widgets adicionais, e ainda não entramos em contato com você, é altamente recomendável revisar sua base de código para vulnerabilidades semelhantes usando os patches nesses plug-ins e o principal Plugin de elemento ou como modelo.
Um agradecimento especial
Todo software é vulnerável em algum ponto do seu ciclo de vida, e a maioria dos softwares é vulnerável até certo ponto em todos no ponto do seu ciclo de vida. É irreal esperar que qualquer empresa ou desenvolvedor escreva um software totalmente livre de vulnerabilidades sem testes e análises significativas. O que mais importa é a resposta deles assim que as vulnerabilidades forem descobertas e divulgadas.
Dessa forma, gostaríamos de agradecer aos seguintes desenvolvedores e editores de plug-ins por suas respostas exemplares à nossa divulgação:
POSIMYTH , editores de Complementos Plus para Elementor Page Builder Lite , por nos ajudar a identificar plug-ins vulneráveis adicionais e buscando ativamente melhorar a segurança de seu produto.
Brainstorm Force , editores de Elementor-Cabeçalho, rodapé e modelo de blocos e Complementos finais para Elementor , por sua resposta rápida e transparência ao informar seus usuários sobre os problemas de segurança em seus plug-ins.
HasThemes , editores de HT Mega-Complementos absolutos para Elementor Page Builder e WooLentor-WooCommerce Elementor Addons + Builder , por sua resposta extremamente rápida na correção de seus plug-ins.
WPDeveloper , editores de Complementos essenciais para Elementor , por sua resposta rápida em corrigir as vulnerabilidades em seu plug-in.
Crocoblock , editores de JetWidgets For Elementor e muitos outros plug-ins de addon Elementor, por sua resposta rápida e disposição para revisar seus addons premium para problemas semelhantes.
WebTechStreet , editores de Elementor Addon Elements , por sua resposta rápida em corrigir as vulnerabilidades em seu plug-in.
Livemesh , editores de Complementos Livemesh para Elementor , por sua capacidade de resposta.
WPMet , editores do Plug-ins ElementsKit e ElementsKit Pro, por sua capacidade de resposta.
ThemesGrove , editores de Complementos tudo-em-um para Elementor-WidgetKit , por sua capacidade de resposta.
Apollo13Themes , editores de Rife Elementor Extensions & Templates , por sua capacidade de resposta.
deTheme , editores de DethemeKit For Elementor , por sua capacidade de resposta.
Este artigo foi o resultado de semanas de pesquisa e divulgação e foi, até certo ponto, uma corrida contra o tempo antes de se tornar óbvio para observadores externos quantos plug-ins no ecossistema Elementor eram vulneráveis. Embora às vezes fosse difícil fazer o contato inicial, ficamos agradavelmente surpresos com a quantidade de editores que contatamos começaram a trabalhar imediatamente após nossa divulgação. Acreditamos que isso seja um bom presságio para o ecossistema Elementor.
Conclusão
Neste artigo, cobrimos um amplo conjunto de vulnerabilidades de Cross-Site Scripting (XSS) presentes em muitos dos plug-ins de addon Elementor mais populares. Embora a maioria dos proprietários de sites pequenos não seja afetada diretamente, as vulnerabilidades em questão podem ser usadas para controle do site, e sites maiores com vários usuários não confiáveis estão particularmente em risco.
Todos os usuários do Wordfence, incluindo sites que usam a versão gratuita do Wordfence, estão protegidos contra essas vulnerabilidades desde 25 de março de 2021.
Se você estiver executando uma versão vulnerável de qualquer um desses plug-ins em seu site, certifique-se de atualizar para a versão mais recente disponível. Se você estiver executando qualquer complemento de plug-ins para o Elementor, certifique-se de aplicar todas as atualizações disponíveis o mais rápido possível.
Se você conhece um amigo ou colega que gerencia um site que usa o Elementor, certifique-se de encaminhar este artigo para ele também. A segurança é um esforço da comunidade e manter-se informado é a ferramenta mais eficaz para manter seu site seguro.
A postagem Recente Patches Rock the Elementor Ecosystem apareceu primeiro em Wordfence .
