Vulnerabilidades en más de 17 complementos complementarios de Elementor para WordPress
[ad_1]
Los investigadores de seguridad de Wordfence descubrieron que prácticamente todos los complementos probados que agregan funcionalidad a Elementor tienen una falla de seguridad. Muchos de los editores de complementos contactados han actualizado sus complementos, pero no todos han respondido, incluidos los complementos premium.
El propio complemento Elementor Page Builder solucionó una vulnerabilidad similar en febrero de 2021.
Esta vulnerabilidad afecta a los complementos complementarios para Elementor que fueron creados por un tercero.
Según Wordfence:
"Encontramos las mismas vulnerabilidades en casi todos los complementos que revisamos que agregan elementos adicionales al constructor de páginas de Elementor".
Entonces parece que esta vulnerabilidad está bastante extendida en los complementos de terceros que son complementos de Elementor.
publicidad
Sigue leyendo a continuación
Vulnerabilidad guardada de secuencias de comandos entre sitios
Una vulnerabilidad de secuencia de comandos entre sitios guardada es particularmente problemática porque la secuencia de comandos maliciosa se carga y almacena en el sitio web. Cuando un usuario visita el sitio web afectado, el navegador ejecuta el script malicioso.
Si la persona que visita el sitio ha iniciado sesión y tiene acceso de nivel de administrador, la secuencia de comandos se puede utilizar para proporcionar ese nivel de acceso al pirata informático y dar como resultado una toma de control completa del sitio.
Esta vulnerabilidad en particular podría permitir que un atacante con al menos autoridad de nivel de Colaborador cargue un script donde se supone que se encuentra un elemento (como un elemento de encabezado).
publicidad
Sigue leyendo a continuación
El ataque es similar al que Elementor parcheó en febrero de 2021.
Así es como se describe la vulnerabilidad de Elementor:
"... El elemento" Encabezado "se puede configurar de tal manera que las etiquetas H1, H2, H3, etc. se utilicen para aplicar diferentes tamaños de encabezado mediante el parámetro header_size.
Desafortunadamente, para seis de estos elementos, las etiquetas HTML no se validaron en el lado del servidor, por lo que cualquier persona con acceso al editor de Elementor, incluidos los colaboradores, podría usar esta opción para agregar un JavaScript diseñado a una publicación o página a través de una consulta de JavaScript ejecutable. "
Lista fija de complementos complementarios principales de Elementor
La siguiente lista de los diecisiete complementos afectados para Elementor está instalada en millones de sitios web.
Hay más de cien puntos finales de estos complementos, lo que significa que había varias vulnerabilidades en cada uno de los complementos donde un atacante podría cargar un archivo JavaScript malicioso.
La siguiente lista es solo una lista parcial.
Si su complemento de terceros que agrega funcionalidad a Elementor no está en la lista, asegúrese de consultar con el editor para ver si se ha revisado para ver si también contiene esta vulnerabilidad.
Lista de los 17 mejores complementos de Elementor parcheados
- Complementos esenciales para Elementor
- Elementor: plantilla de encabezado, pie de página y bloque
- Complementos definitivos para Elementor
- Complementos premium para Elementor
- ElementsKit
- Elementos del complemento Elementor
- Complementos de Livemesh para Elementor
- HT Mega - Complementos absolutos para Elementor Page Builder
- WooLentor - Complementos + Constructor de WooCommerce Elementor
- Complementos de PowerPack para Elementor
- Efectos de desplazamiento de imagen - Complemento Elementor
- Extensiones y plantillas de Rife Elementor
- Los complementos Plus para Elementor Page Builder Lite
- Complementos todo en uno para Elementor - WidgetKit
- JetWidgets para Elementor
- Extensión Sina para Elementor
- DethemeKit para Elementor
publicidad
Sigue leyendo a continuación
Qué hacer cuando se usa un complemento de Elementor
Los editores que utilizan complementos de terceros para Elementor deben asegurarse de que estos complementos se hayan actualizado para abordar esta vulnerabilidad.
Si bien esta vulnerabilidad requiere al menos acceso a nivel de contribuyente, un pirata informático que se dirija específicamente a un sitio web podría usar varios ataques o estrategias para obtener estas credenciales, incluida la ingeniería social.
Según Wordfence:
"Podría ser más fácil para un atacante obtener acceso a una cuenta de colaborador que obtener credenciales de administrador. Una vulnerabilidad de este tipo podría usarse para escalar permisos ejecutando JavaScript en la sesión del navegador de un administrador de revisión".
publicidad
Sigue leyendo a continuación
Si su complemento de complemento de terceros para Elementor no se actualizó recientemente para abordar una vulnerabilidad, puede comunicarse con el editor de ese complemento para ver si es seguro.
Cita
Los parches actuales están sacudiendo el ecosistema de Elementor
[ad_2]
Deja una respuesta