Saltar al contenido
Closer Marketing

Vulnerabilidades en más de 17 complementos complementarios de Elementor para WordPress


Los investigadores de seguridad de Wordfence descubrieron que prácticamente todos los complementos probados que agregan funcionalidad a Elementor tienen una falla de seguridad. Muchos de los editores de complementos contactados han actualizado sus complementos, pero no todos han respondido, incluidos los complementos premium.

El propio complemento Elementor Page Builder solucionó una vulnerabilidad similar en febrero de 2021.

Esta vulnerabilidad afecta a los complementos complementarios para Elementor que fueron creados por un tercero.

Según Wordfence:

«Encontramos las mismas vulnerabilidades en casi todos los complementos que revisamos que agregan elementos adicionales al constructor de páginas de Elementor».

Entonces parece que esta vulnerabilidad está bastante extendida en los complementos de terceros que son complementos de Elementor.

publicidad

Sigue leyendo a continuación

Vulnerabilidad guardada de secuencias de comandos entre sitios

Una vulnerabilidad de secuencia de comandos entre sitios guardada es particularmente problemática porque la secuencia de comandos maliciosa se carga y almacena en el sitio web. Cuando un usuario visita el sitio web afectado, el navegador ejecuta el script malicioso.

Si la persona que visita el sitio ha iniciado sesión y tiene acceso de nivel de administrador, la secuencia de comandos se puede utilizar para proporcionar ese nivel de acceso al pirata informático y dar como resultado una toma de control completa del sitio.

Esta vulnerabilidad en particular podría permitir que un atacante con al menos autoridad de nivel de Colaborador cargue un script donde se supone que se encuentra un elemento (como un elemento de encabezado).

publicidad

Sigue leyendo a continuación

El ataque es similar al que Elementor parcheó en febrero de 2021.

Así es como se describe la vulnerabilidad de Elementor:

«… El elemento» Encabezado «se puede configurar de tal manera que las etiquetas H1, H2, H3, etc. se utilicen para aplicar diferentes tamaños de encabezado mediante el parámetro header_size.

Desafortunadamente, para seis de estos elementos, las etiquetas HTML no se validaron en el lado del servidor, por lo que cualquier persona con acceso al editor de Elementor, incluidos los colaboradores, podría usar esta opción para agregar un JavaScript diseñado a una publicación o página a través de una consulta de JavaScript ejecutable. «

Lista fija de complementos complementarios principales de Elementor

La siguiente lista de los diecisiete complementos afectados para Elementor está instalada en millones de sitios web.

Hay más de cien puntos finales de estos complementos, lo que significa que había varias vulnerabilidades en cada uno de los complementos donde un atacante podría cargar un archivo JavaScript malicioso.

La siguiente lista es solo una lista parcial.

Si su complemento de terceros que agrega funcionalidad a Elementor no está en la lista, asegúrese de consultar con el editor para ver si se ha revisado para ver si también contiene esta vulnerabilidad.

Lista de los 17 mejores complementos de Elementor parcheados

  1. Complementos esenciales para Elementor
  2. Elementor: plantilla de encabezado, pie de página y bloque
  3. Complementos definitivos para Elementor
  4. Complementos premium para Elementor
  5. ElementsKit
  6. Elementos del complemento Elementor
  7. Complementos de Livemesh para Elementor
  8. HT Mega – Complementos absolutos para Elementor Page Builder
  9. WooLentor – Complementos + Constructor de WooCommerce Elementor
  10. Complementos de PowerPack para Elementor
  11. Efectos de desplazamiento de imagen – Complemento Elementor
  12. Extensiones y plantillas de Rife Elementor
  13. Los complementos Plus para Elementor Page Builder Lite
  14. Complementos todo en uno para Elementor – WidgetKit
  15. JetWidgets para Elementor
  16. Extensión Sina para Elementor
  17. DethemeKit para Elementor

publicidad

Sigue leyendo a continuación

Qué hacer cuando se usa un complemento de Elementor

Los editores que utilizan complementos de terceros para Elementor deben asegurarse de que estos complementos se hayan actualizado para abordar esta vulnerabilidad.

Si bien esta vulnerabilidad requiere al menos acceso a nivel de contribuyente, un pirata informático que se dirija específicamente a un sitio web podría usar varios ataques o estrategias para obtener estas credenciales, incluida la ingeniería social.

Según Wordfence:

«Podría ser más fácil para un atacante obtener acceso a una cuenta de colaborador que obtener credenciales de administrador. Una vulnerabilidad de este tipo podría usarse para escalar permisos ejecutando JavaScript en la sesión del navegador de un administrador de revisión».

publicidad

Sigue leyendo a continuación

Si su complemento de complemento de terceros para Elementor no se actualizó recientemente para abordar una vulnerabilidad, puede comunicarse con el editor de ese complemento para ver si es seguro.

Cita

Los parches actuales están sacudiendo el ecosistema de Elementor



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *