Saltar al contenido
Closer Marketing

Vulnerabilidades en más de 17 complementos complementarios de Elementor para WordPress

Los investigadores de seguridad de Wordfence descubrieron que prácticamente todos los complementos probados que agregan funcionalidad a Elementor tenían una vulnerabilidad. Muchos de los editores de complementos contactados actualizaron sus complementos, pero no todos respondieron, incluidos los complementos premium.

El propio complemento del constructor de páginas Elementor corrigió una vulnerabilidad similar en febrero de 2021.

Esta vulnerabilidad afecta a los complementos complementarios para Elementor creados por terceros.Según Wordfence:

«Encontramos las mismas vulnerabilidades en casi todos los complementos que revisamos que agregan elementos adicionales al creador de páginas de Elementor».

Entonces parece que esta vulnerabilidad está bastante extendida dentro de los complementos de terceros que son complementos de Elementor.

Vulnerabilidad almacenada de secuencias de comandos entre sitios

Una vulnerabilidad almacenada de secuencias de comandos entre sitios es particularmente problemática porque la secuencia de comandos maliciosa se carga y se almacena en el sitio web. Luego, cuando un usuario visita la página web afectada, el navegador ejecutará el script malicioso.

Si la persona que visita el sitio ha iniciado sesión y tiene acceso de nivel de administrador, entonces el script podría usarse para proporcionar ese nivel de acceso al pirata informático y conducir a una toma de control total del sitio.

Esta vulnerabilidad particular permite a un atacante con al menos un permiso de nivel de colaborador cargar un script en el lugar donde se supone que debe estar un elemento (como un elemento de encabezado).

El ataque es similar a uno que Elementor parcheó en febrero de 2021.

Así es como se describe la vulnerabilidad de Elementor:

“… El elemento“ Encabezado ”se puede configurar para usar etiquetas H1, H2, H3, etc. para aplicar diferentes tamaños de encabezado a través del parámetro header_size.

Desafortunadamente, para seis de estos elementos, las etiquetas HTML no se validaron en el lado del servidor, por lo que era posible que cualquier usuario que pudiera acceder al editor de Elementor, incluidos los contribuyentes, usara esta opción para agregar JavaScript ejecutable a una publicación o página a través de una solicitud elaborada «.

Lista de complementos complementarios principales de Elementor corregidos

La siguiente lista de diecisiete complementos para Elementor que se vieron afectados están instalados en millones de sitios.

De esos complementos, hay más de cien puntos finales, lo que significa que había múltiples vulnerabilidades en cada uno de los complementos donde un atacante podría cargar un archivo JavaScript malicioso.

La siguiente lista es solo parcial.

Si su complemento de terceros que agrega funcionalidad a Elementor no está en la lista, entonces es imperativo consultar con el editor para asegurarse de que se haya verificado para ver si también contiene esta vulnerabilidad.

Lista de los 17 mejores complementos de Elementor parcheados

  1. Complementos esenciales para Elementor
  2. Elementor – Plantilla de encabezado, pie de página y bloques
  3. Complementos definitivos para Elementor
  4. Complementos premium para Elementor
  5. ElementsKit
  6. Elementos complementarios de Elementor
  7. Complementos Livemesh para Elementor
  8. HT Mega – Complementos absolutos para Elementor Page Builder
  9. WooLentor – Complementos + Constructor de WooCommerce Elementor
  10. Complementos de PowerPack para Elementor
  11. Efectos de desplazamiento de imagen – Complemento Elementor
  12. Extensiones y plantillas de Rife Elementor
  13. Los complementos Plus para Elementor Page Builder Lite
  14. Complementos todo en uno para Elementor – WidgetKit
  15. JetWidgets para Elementor
  16. Extensión Sina para Elementor
  17. DethemeKit para Elementor

¿Qué hacer si usa un complemento Elementor?

Los editores que utilizan complementos de terceros para Elementor deben asegurarse de que esos complementos se hayan actualizado para corregir esta vulnerabilidad.

Si bien esta vulnerabilidad requiere al menos un acceso de nivel de colaborador, un pirata informático que se dirige específicamente a un sitio puede aprovechar varios ataques o estrategias para obtener esas credenciales, incluida la ingeniería social.

Según Wordfence:

«Puede ser más fácil para un atacante obtener acceso a una cuenta con privilegios de colaborador que obtener credenciales administrativas, y una vulnerabilidad de este tipo puede usarse para realizar una escalada de privilegios ejecutando JavaScript en la sesión del navegador de un administrador de revisión».

Si su complemento complementario de terceros para Elementor no se ha actualizado recientemente para parchear una vulnerabilidad, es posible que desee comunicarse con el editor de ese complemento para determinar si es seguro.