Vulnerabilidade de complementos do WordPress Elementor afeta 400 mil sites

Vulnerabilidade de complementos do WordPress Elementor afeta 400 mil sites


Wordfence emitiu um comunicado sobre uma vulnerabilidade corrigida no popular plugin Happy Addons for Elementor, instalado em mais de 400.000 sites. A falha de segurança pode permitir que invasores carreguem scripts maliciosos que são executados quando os navegadores visitam as páginas afetadas.

Complementos felizes para Elementor

O plugin Happy Addons for Elementor estende o construtor de páginas Elementor com dezenas de widgets gratuitos e recursos como grades de imagens, função de feedback e avaliações do usuário e menus de navegação personalizados. Uma versão paga do plugin oferece ainda mais funcionalidades de design que facilitam a criação de sites WordPress funcionais e atraentes.

Scripting entre sites armazenados (XSS armazenado)

XSS armazenado é uma vulnerabilidade que normalmente ocorre quando um tema ou plug-in não filtra adequadamente as entradas do usuário (chamado sanitização), permitindo que scripts maliciosos sejam carregados no banco de dados e armazenados no próprio servidor. Quando um usuário visita o site, o script é baixado para o navegador e executa ações como roubar cookies do navegador ou redirecionar o usuário para um site malicioso.

A vulnerabilidade XSS armazenada que afeta o plugin Happy Addons for Elementor requer que um hacker adquira permissões de nível de Colaborador (autenticação), tornando mais difícil tirar vantagem da vulnerabilidade.

A empresa de segurança WordPress Wordfence classificou a vulnerabilidade como 6,4 em uma escala de 1 a 10, um nível de ameaça médio.

De acordo com o Wordfence:

“O plug-in Happy Addons for Elementor para WordPress é vulnerável a scripts entre sites armazenados por meio do parâmetro before_label no widget de comparação de imagens em todas as versões até 3.12.5, inclusive, devido à limpeza insuficiente de entrada e escape de saída. Isso possibilita que invasores autenticados, com acesso de nível de Colaborador e superior, injetem scripts da Web arbitrários em páginas que serão executadas sempre que um usuário acessar uma página injetada.”

Os usuários do plug-in devem considerar a atualização para a versão mais recente, atualmente 3.12.6, que contém um patch de segurança para a vulnerabilidade.

Leia o comunicado do Wordfence:

Happy Addons para Elementor <= 3.12.5 – Scripting entre sites armazenados autenticados (Contributor +) por meio de comparação de imagens

Imagem em destaque da Shutterstock/Red Cristal



Link da Fonte

Postagens Similares

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *