Elementor Vulnerable Ultimate WordPress Plugin Impacts + 1M |
El editor de Ultimate Addons para el complemento de Elementor ha notificado a los clientes sobre una vulnerabilidad que afecta a dos de sus complementos.
Aquí está la entrada en el registro de cambios relacionados con el complemento parcheado Elementor, corregido por Brainstorm Force en marzo de 2021:
- Versión 1.30.0 - Corregida - 30 de marzo de 2021
Opciones mejoradas habilitadas en el editor para aplicar mejores políticas de seguridad.
Vulnerabilidad del Elementor Brainstorm Force
El editor de Ultimate Addons para el complemento de Elementor ha notificado a los clientes sobre una vulnerabilidad que afecta a dos de sus complementos.
comercial
Continúe leyendo a continuación
Los dos complementos afectados son complementos para el popular complemento de creación de páginas de Elementor. Los complementos son complementos de terceros que amplían la funcionalidad y las características de los complementos de Elementor Page Builder.
Los aditivos de explotación son distribuidos por Brainstorm Force de terceros.
Los complementos afectados por Elementor son:
- El mejor complemento para Elementor
- Elementor: plantilla de encabezado, pie de página y bloque
Un correo electrónico de Brainstorm Force dijo que el equipo de seguridad de Wordfence les había notificado la vulnerabilidad y habían respondido en cuestión de horas.
comercial
Continúe leyendo a continuación
Según el correo electrónico:
? ???? En cada actualización, hemos corregido vulnerabilidades reportadas por el equipo de Wordfence.
Son muy similares a lo que corrigió recientemente el equipo de Elementor en su versión 3.1.2.
Captura de pantalla del correo electrónico de Brainstorming Force
La vulnerabilidad de Elementor identificada por Brainstorm Force se conoce como una vulnerabilidad de secuencias de comandos almacenada que podría permitir que los piratas informáticos maliciosos se apoderen de un sitio completo.
(Leer: La vulnerabilidad de WordPress Elementor afecta a +7 millones)
Vulnerabilidad para almacenar scripts entre sitios
Brainstorm Force no establece explícitamente que la vulnerabilidad parcheada es una vulnerabilidad de secuencia de comandos entre sitios almacenada. Solo comparan las vulnerabilidades corregidas con las corregidas por el software de creación de páginas de Elementor.
Una vulnerabilidad persistente en los scripts entre sitios es aquella en la que los scripts maliciosos se cargan directamente en un sitio web. Este tipo de vulnerabilidad generalmente se considera más grave que otro tipo de vulnerabilidad de secuencias de comandos entre sitios (XSS), denominada XSS duplicado, que se basa en hacer clic en enlaces.
comercial
Continúe leyendo a continuación
Las vulnerabilidades XSS almacenadas no requieren hacer clic en un enlace, la vulnerabilidad existe en el sitio web afectado.
Wordfence aún no ha publicado detalles
Wordfence no publica detalles sobre la vulnerabilidad. Hasta ahora, Brainstorm Force solo ha proporcionado descripciones de vulnerabilidades similares a las vulnerabilidades en el generador de páginas de Elementor.
Pero Brainstorm Force no establece explícitamente que su vulnerabilidad al complemento sea una vulnerabilidad XSS almacenada. Solo que son similares a los exploits de Elementor para los exploits XSS.
Versión fija del complemento Elementor
Elementor: plantilla de encabezado, pie de página y bloque
Elementor: plantilla de encabezado, pie de página y bloque se actualizó a la versión 1.5.8 el 31 de marzo de 2021.
comercial
Continúe leyendo a continuación
La actualización intensifica su ataque a la vulnerabilidad, según un registro de cambios que documenta lo que contiene la actualización.
Esto es lo que registra el registro de cambios:
???? 1.5.8
Solución: opciones avanzadas habilitadas en el editor para aplicar mejores políticas de seguridad".
El hecho de que los editores necesiten refuerzo sugiere que la vulnerabilidad puede requerir que el pirata informático tenga privilegios de nivel de suscriptor.
Pero esto aún no ha sido confirmado oficialmente.
El mejor complemento para Elementor
Ultimate Addons para el complemento Elementor también se actualizó a la versión 1.30.0 el 31 de marzo de 2021.
Las razones dadas para la corrección son exactamente las mismas que para Elementor: plantillas de encabezado, pie de página y bloque.
comercial
Continúe leyendo a continuación
Ultimate Addons según la lista de cambios de Elementor:
"Las opciones mejoradas permiten al editor aplicar mejores políticas de seguridad".
actualizar inmediatamente
Se recomienda encarecidamente a todos los editores que utilizan estos dos complementos que actualicen sus versiones de inmediato.
La última versión corregida del software es:
- Elementor - Plantilla de encabezado, pie de página y bloque 1.5.8
- Complemento definitivo para Elementor 1.30.0
Deja una respuesta