Miljontals WordPress-webbplatser som påverkas av sårbarheter i Elementor-tilläggsprogrammen

april 19, 2021
Miljontals WordPress-webbplatser som påverkas av sårbarheter i Elementor-tilläggsprogrammen

Miljontals WordPress-webbplatser som påverkas av sårbarheter i Elementor-tilläggsprogrammen

Wordfence-säkerhetsanalytiker fann att praktiskt taget alla plugin-försök som tillför funktionalitet till Elementor hade sårbarhet. Många av de kontaktade plugin-utgivarna uppdaterade sina plugins men inte alla reagerade, inklusive premium-plugins.

Elementor-sidans byggare-plugin fixade en liknande sårbarhet i februari 2021.

Denna sårbarhet påverkar tilläggsprogram för Elementor som skapas av tredje part.

Som anges av Wordfence:

“Vi hittade samma sårbarheter i nästan varje plugin som vi granskade som lägger till ytterligare element till Elementor-sidbyggaren.”

Så det verkar vara så att denna sårbarhet verkligen är gränslös inuti plug-ins från tredje part som är tillägg till Elementor.

Lagrad sårbarhet för skriptöverskridande webbplatser

En lagrad skriptsårbarhet över flera webbplatser är särskilt farlig eftersom det skadliga skriptet laddas upp till och lagras på den aktuella webbplatsen. Sedan när en användare besöker den påverkade webbplatsen kommer webbläsaren att köra det skadliga skriptet.

Om individen som besöker webbplatsen är inloggad och har åtkomst på administratörsnivå kan skriptet användas för att ge den åtkomstnivån till hackaren och leda till en fullständig webbplatsövertagande.

Denna specifika sårbarhet tillåter en angripare med åtminstone behörighetsnivåbehörighet att ladda upp ett skriptuppsättning där en komponent (som en huvudkomponent) ska vara.

Angreppet är som ett som Elementor fixade i februari 2021.

Så här beskrivs Elementors sårbarhet:

“…” Rubrik “-elementet kan ställas in för att använda taggarna H1, H2, H3, etc. för att tillämpa olika rubrikstorlekar via parametern header_size.

Tyvärr validerades HTML-taggarna för sex av dessa element inte på serversidan, så det var möjligt för alla användare som kunde komma åt Elementor-redigeraren, inklusive bidragsgivare, att använda det här alternativet för att lägga till körbar JavaScript till ett inlägg eller en sida via en utformad begäran. ”

Lista över de bästa Elementor-tilläggsprogrammen fixade

Listan nedan med sjutton plugins för Elementor som påverkades är installerad på miljoner webbplatser.

Av dessa plugins finns över 100 slutpunkter, vilket innebär att det fanns olika sårbarheter i vart och ett av pluginsna där en angripare kunde ladda upp en skadlig JavaScript-fil.

Följande lista är endast ofullständig.

Om ditt outsider-plugin som lägger till funktionalitet till Elementor inte är listat är det grundläggande att kontrollera med utgivaren för att se om det har verifierats om det också innehåller denna sårbarhet.

Lista över topp 17 Patched Elementor-plugins

  1. Viktiga tillägg för Elementor
  2. Elementor – Mall för sidhuvud, sidfot och block
  3. Ultimate Addons för Elementor
  4. Premium-tillägg för Elementor
  5. ElementsKit
  6. Elementor Addon Elements
  7. Livemesh-tillägg för Elementor
  8. HT Mega – Absoluta tillägg för Elementor Page Builder
  9. WooLentor – WooCommerce Elementor Addons + Builder
  10. PowerPack-tillägg för Elementor
  11. Image Hover Effects – Elementor Addon
  12. Rife Elementor-tillägg och mallar
  13. Plus-tilläggen för Elementor Page Builder Lite
  14. Allt-i-ett-tillägg för Elementor – WidgetKit
  15. JetWidgets för Elementor
  16. Sina Extension för Elementor
  17. DethemeKit för Elementor

Vad ska jag göra om du använder ett Elementor-plugin?

Utgivare som använder externa plugins för Elementor bör se till att dessa plugins har uppdaterats för att åtgärda denna sårbarhet.

Medan denna sårbarhet behöver åtminstone en tillgång på bidragsnivå, kan en hacker som uttryckligen fokuserar på en webbplats utnyttja olika attacker eller strategier för att skaffa dessa uppgifter, inklusive socialteknik.

Som anges av Wordfence:

“Det kan vara lättare för en angripare att få tillgång till ett konto med bidragsrättigheter än att få administrativa referenser, och en sårbarhet av denna typ kan användas för att utföra behörighetsökning genom att köra JavaScript i en granskande administratörs webbläsarsession.”

Om ditt tilläggsprogram från tredje part till Elementor inte nyligen har uppdaterats för att åtgärda en sårbarhet kan du behöva kontakta utgivaren av det pluginet för att ta reda på om det är säkert.

Citat

Senaste plåster rockar Elementors ekosystem

Vi på CodeLedge erbjuder Sveriges bästa WordPress-utvecklingstjänster. Våra WordPress-utvecklingsexperter är mycket professionella för att utveckla kreativa WordPress-webbplatser för alla typer av företag. Mejla oss på hi@codeledge.net eller få en offert härifrån.

Farhan Sabir
Farhan Sabir

Related posts

Topp-5-PayPal-Alternativ-för-Att-Acceptera-OnlineBetalningar
april 12, 2021

Topp 5 PayPal Alternativ för Att Acceptera OnlineBetalningar

Read more
WordPress Plugin WP Super Cache-Sårbarhet Påverkar över 2 Miljoner Webbplatser

WordPress Plugin WP Super Cache-Sårbarhet Påverkar över 2 Miljoner Webbplatser

mars 17, 2021

WordPress Plugin WP Super Cache-Sårbarhet Påverkar över 2 Miljoner Webbplatser

Read more
WordPress Gutenberg 10.1 Förbättrar Dramatiskt Kärnans Prestanda På Webben

WordPress Gutenberg 10.1 Förbättrar Dramatiskt Kärnans Prestanda På Webben

mars 8, 2021

WordPress Gutenberg 10.1 Förbättrar Dramatiskt Kärnans Prestanda På Webben

Read more

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Translate »