Vulnerabilidades em mais de 17 plug-ins de complemento Elementor para WordPress via @sejournal, @martinibuster

Published by WP Info on

Os pesquisadores de segurança do Wordfence descobriram que praticamente todos os plugins testados que adicionam funcionalidade ao Elementor tinham uma vulnerabilidade. Muitos dos editores de plug-ins contatados atualizaram seus plug-ins, mas nem todos responderam, incluindo plug-ins premium.

O próprio plug-in do construtor de páginas Elementor corrigiu uma vulnerabilidade semelhante em fevereiro de 2021 .

Esta vulnerabilidade afeta plug-ins complementares para Elementor que são criados por terceiros.

Publicidade

Continue lendo abaixo

De acordo com o Wordfence:

“Encontramos o mesmas vulnerabilidades em quase todos os plug-ins que analisamos que adicionam elementos ao construtor de páginas Elementor. ”

Portanto, parece que essa vulnerabilidade é bastante difundida nos plug-ins de terceiros que são complementos para Elementor

Vulnerabilidade de script entre sites armazenados

Uma vulnerabilidade de script entre sites armazenados é particularmente problemática porque o script malicioso é carregado e armazenado no próprio site. Então, quando um usuário visitar a página da web afetada, o navegador executará o script malicioso.

Se a pessoa que visita o site estiver conectada e tiver acesso de nível de administrador, o script poderá ser usado para fornecer esse nível de acesso ao hacker e levar à tomada total do site.

Publicidade

Continue lendo abaixo

Esta vulnerabilidade específica permite que um invasor com pelo menos uma permissão de nível de contribuidor carregue um script no lugar onde um elemento (como um elemento de cabeçalho) deve ser.

O ataque é semelhante àquele que o Elementor corrigiu em fevereiro de 2021.

É assim que o Vulnerabilidade Elementor é descrita:

“… o elemento“ Heading ”pode ser definido para usar tags H1, H2, H3, etc. a fim de aplicar diferentes tamanhos de título por meio do parâmetro header_size.

Infelizmente, para seis desses elementos, as tags HTML não foram validadas no lado do servidor, portanto, era possível para qualquer usuário acessar o Elementor editor, incluindo colaboradores, para usar esta opção para adicionar JavaScript executável a uma postagem ou página por meio de uma solicitação elaborada. ”

Lista de elementos principais ou plug-ins de complemento corrigidos

A lista abaixo de dezessete plug-ins para Elementor que foram afetados está instalada em milhões de sites.

Desses plug-ins, há mais de cem endpoints, o que significa que havia várias vulnerabilidades em cada um dos plug-ins em que um invasor pode enviar um arquivo JavaScript malicioso.

A lista a seguir é apenas parcial.

Se o seu plug-in de terceiros que adiciona funcionalidade ao Elementor não estiver listado, é imperativo verificar com o editor para ter certeza de que foi verificado para ver se também contém esta vulnerabilidade ty.

Publicidade

Continue lendo abaixo

Lista dos 17 principais plug-ins de elementos corrigidos

  1. Complementos essenciais para o Elementor
  2. Elementor-Cabeçalho, rodapé e modelo de blocos
  3. Complementos finais para Elementor
  4. Complementos premium para Elementor
  5. ElementsKit
  6. Elementos addon Elementor
  7. Complementos Livemesh para Elementor
  8. HT Mega-Complementos absolutos para Elementor Page Builder
  9. WooLentor-Complementos WooCommerce Elementor + Builder
  10. Complementos PowerPack para Elementor
  11. Image Hover Effects-Elementor Addon
  12. Rife Elementor Extensions & Templates
  13. Os Addons Plus para Elementor Page Builder Lite
  14. Complementos All-in-One para Elementor-WidgetKit
  15. JetWidgets For Elementor
  16. Extensão Sina para Elementor
  17. DethemeKit For Elementor

O que fazer se você Usar um plugin do Elementor?

Editores que usam g plug-ins de terceiros para Elementor devem se certificar de que esses plug-ins foram atualizados para corrigir esta vulnerabilidade.

Embora esta vulnerabilidade exija pelo menos um acesso de nível de contribuidor, um hacker que tem como alvo específico um site pode alavancar vários ataques ou estratégias para obter essas credenciais, incluindo engenharia social.

Publicidade

Continue lendo abaixo

De acordo com o Wordfence:

“It pode ser mais fácil para um invasor obter acesso a uma conta com privilégios de contribuidor do que obter credenciais administrativas, e uma vulnerabilidade desse tipo pode ser usada para realizar escalonamento de privilégios executando JavaScript em uma sessão de navegador do administrador de revisão. ”

Se o seu complemento de plug-in de terceiros para o Elementor não foi atualizado recentemente para corrigir uma vulnerabilidade, você pode entrar em contato com o editor desse plug-in para verificar se ele é seguro.

Citação

Patches recentes abalam o ecossistema Elementor

Source link

Categories: Wordpress
Tags:

Related Posts

IT Info

Como digitar sobrescrito ou subscrito no Mac

Sobrescrito significa escrito ou impresso acima da linha, e subscrito significa escrito ou impresso abaixo da linha. Ao escrever fórmulas matemáticas (como expoente – 23), sufixos numéricos (como 1º, 2º, 3º), símbolos de direitos autorais Read more…

IT Info

Opinião: Um iPad pode ser usado inteiramente para gerenciar um blog em 2022?

A Apple fez muitos avanços com o iPad nos últimos anos e aí vem a questão de transição que muitos estão se perguntando por aí, com essa pergunta sendo “posso usar um iPad para gerenciar Read more…

IT Info

Mais utilidade para o Dogecoin, pois os sites WordPress agora podem aceitar pagamentos DOGE

O Dogecoin adicionou outro utilitário ao seu cinto. A moeda meme que tem sido a favorita dos fãs vem ganhando terreno recentemente em termos de capacidade de pagamento. Sua comunidade de apoiadores ávidos está liderando Read more…