SegurançaWordpress

Vulnerabilidades em mais de 17 plug-ins de complemento do Elementor para WordPress

Os pesquisadores de segurança do Wordfence descobriram que praticamente todos os plug-ins testados que adicionam funcionalidade ao Elementor tinham uma vulnerabilidade. Muitos dos editores de plug-ins contatados atualizaram seus plug-ins, mas nem todos responderam, incluindo plug-ins premium.

Está precisando hospedar ou criar seu site WordPress seguro, bonito e eficiente? Fale conosco temos: preço, qualidade e segurança, venha falar conosco orçamento sem custo. Acesse www.SoloWeb.com.br

O próprio plug-in do construtor de páginas Elementor corrigiu uma vulnerabilidade semelhante em fevereiro de 2021 .

Esta vulnerabilidade afeta plug-ins complementares para Elementor que são criados por terceiros.

Precisando de uma hospedagem de site ou de um servidor dedicado personalizado, seja para ambiente de teste, desenvolvimento ou de produção? E com um suporte de especialistas, que ti, ajudam a resolver os problemas o mais rápido possível? A SoloWeb tem o prazer em ti, ajudar com isso. Entre em contato conosco e faça uma cotação agora mesmo, acesse: www.soloweb.com.br.

De acordo com o Wordfence:

“Encontramos as mesmas vulnerabilidades em quase todos os plug-ins que revisamos e que adicionam elementos ao construtor de páginas Elementor.”

Portanto, parece que essa vulnerabilidade é bastante difundida nos plug-ins de terceiros que são complementos do Elementor

Vulnerabilidade de script entre sites armazenados

Uma vulnerabilidade de script entre sites armazenados é particularmente problemática porque o script malicioso é carregado e armazenado no próprio site. Então, quando um usuário visitar a página da web afetada, o navegador executará o script malicioso.

Se a pessoa que visita o site estiver conectada e tiver acesso de nível de administrador, o script poderá ser usado para fornecer esse nível de acesso ao hacker e levar à tomada total do site.

Esta vulnerabilidade específica permite que um invasor com pelo menos uma permissão de nível de contribuidor carregue um script no lugar onde um elemento (como um elemento de cabeçalho) deveria estar.

O ataque é semelhante àquele que o Elementor corrigiu em fevereiro de 2021.

É assim que a vulnerabilidade do Elementor é descrita:

“… O elemento“ Título ”pode ser configurado para usar tags H1, H2, H3, etc. para aplicar diferentes tamanhos de título por meio do parâmetro header_size.

Infelizmente, para seis desses elementos, as tags HTML não foram validadas no lado do servidor, portanto, era possível para qualquer usuário capaz de acessar o editor Elementor, incluindo colaboradores, usar esta opção para adicionar JavaScript executável a um post ou página um pedido elaborado. ”

Lista dos principais plug-ins do elemento ou add-on corrigidos

A lista abaixo de dezessete plug-ins para Elementor que foram afetados está instalada em milhões de sites.

Desses plug-ins, há mais de cem endpoints, o que significa que havia várias vulnerabilidades em cada um dos plug-ins em que um invasor poderia carregar um arquivo JavaScript malicioso.

A lista a seguir é apenas parcial.

Se o seu plug-in de terceiros que adiciona funcionalidade ao Elementor não estiver listado, é imperativo verificar com o editor para ter certeza de que foi verificado para ver se também contém esta vulnerabilidade.

Lista dos 17 principais plug-ins de elemento corrigido

  1. Essential Addons for Elementor
  2. Elementor – Header, Footer & Blocks Template
  3. Ultimate Addons for Elementor
  4. Premium Addons for Elementor
  5. ElementsKit
  6. Elementor Addon Elements
  7. Livemesh Addons for Elementor
  8. HT Mega – Absolute Addons for Elementor Page Builder
  9. WooLentor – WooCommerce Elementor Addons + Builder
  10. PowerPack Addons for Elementor
  11. Image Hover Effects – Elementor Addon
  12. Rife Elementor Extensions & Templates
  13. The Plus Addons for Elementor Page Builder Lite
  14. All-in-One Addons for Elementor – WidgetKit
  15. JetWidgets For Elementor
  16. Sina Extension for Elementor
  17. DethemeKit For Elementor

O que fazer se você usar um plugin Elementor?

Os editores que usam plug-ins de terceiros para o Elementor devem certificar-se de que esses plug-ins foram atualizados para corrigir essa vulnerabilidade.

Embora essa vulnerabilidade exija pelo menos um acesso de nível de contribuidor, um hacker que tem como alvo específico um site pode aproveitar vários ataques ou estratégias para obter essas credenciais, incluindo engenharia social.

Está precisando hospedar ou criar seu site WordPress, seguro, bonito e eficiente? Fale conosco temos: preço, qualidade e segurança, venha falar conosco orçamento sem custo. Acesse www.SoloWeb.com.br

De acordo com o Wordfence:

“Pode ser mais fácil para um invasor obter acesso a uma conta com privilégios de contribuidor do que obter credenciais administrativas, e uma vulnerabilidade desse tipo pode ser usada para realizar escalonamento de privilégios executando JavaScript em uma sessão de navegador do administrador de revisão.”

Se o seu complemento de plug-in de terceiros para Elementor não foi atualizado recentemente para corrigir uma vulnerabilidade, você pode entrar em contato com o editor desse plug-in para verificar se ele é seguro.

Citação: https://www.wordfence.com/blog/2021/04/recent-patches-rock-the-elementor-ecosystem/

Fonte: searchenginejournal.com

Na SoloWeb irá encontrar hospedagem segura e de qualidade, com um preço justo que uma equipe que ajuda de verdade. Acesse www.soloweb.com.br

Esperamos ter ajudado com mais esta dica, e siga nos, nas redes sociais para mais tutoriais, e se precisar de nossa ajuda estamos a disposição: www.soloweb.com.br.

E lembrando que a SOLOWEB além de oferecer Hospedagem de Sites, Servidores Dedicados, Servidores VPS com o menor custo do Brasil, também desenvolve soluções de software e realiza gerenciamento e monitoramento de servidores para sua empresa, faça uma cotação sem custo, acesse: www.soloweb.com.br