Исследователи выпустили рекомендации для одиннадцати отдельных дополнительных плагинов Elementor с 15 уязвимостями, которые могут позволить хакерам загружать вредоносные файлы. Один из них оценивается как уязвимость с высоким уровнем угрозы, поскольку он может позволить хакерам обходить контроль доступа, выполнять сценарии и получать конфиденциальные данные.

Два разных типа уязвимостей

Большинство уязвимостей относятся к хранимому межсайтовому скриптингу (XSS). Три из них — включение локальных файлов.

XSS-уязвимости являются одной из наиболее распространенных форм уязвимостей, встречающихся в плагинах и темах WordPress. Обычно они возникают из-за недостатков в защите входных данных (очистка входных данных), а также в том, как блокируются выходные данные (экранирование выходных данных).

Уязвимость включения локального файла — это уязвимость, которая использует незащищенную область пользовательского ввода, что позволяет злоумышленнику «включить» файл во входные данные. Включение — это термин кодирования. На простом английском языке включение файла — это скрипт (оператор), который сообщает веб-сайту добавить определенный код из файла, например файла PHP. Я использовал включения в PHP для получения данных из одного файла (например, заголовка веб-страницы) и вставки их в метаописание, это пример включения.

Такая уязвимость может представлять собой серьезную угрозу, поскольку позволяет злоумышленнику «включить» широкий спектр кода, что, в свою очередь, может привести к возможности обойти любые ограничения на действия, которые могут быть выполнены на веб-сайте, и/или разрешить доступ. к конфиденциальным данным, доступ к которым обычно ограничен.

Открытый проект безопасности веб-приложений (OWASP) определяет уязвимость включения локальных файлов:

«Уязвимость включения файлов позволяет злоумышленнику включить файл, обычно используя механизмы «динамического включения файлов», реализованные в целевом приложении. Уязвимость возникает из-за использования введенных пользователем данных без надлежащей проверки.

Это может привести к чему-то вроде вывода содержимого файла, но в зависимости от серьезности это также может привести к:

Выполнение кода на веб-сервере

Выполнение кода на стороне клиента, например JavaScript, что может привести к другим атакам, таким как межсайтовый скриптинг (XSS).

Отказ в обслуживании (DoS)

Раскрытие конфиденциальной информации»

Список уязвимых дополнительных плагинов Elementor

Всего существует одиннадцать дополнительных плагинов Elementor, имеющих рекомендации по уязвимостям, два из которых были выпущены сегодня (29 марта), два из которых были выпущены 28 марта. Остальные семь были выданы в течение последних нескольких дней.

Некоторые из плагинов имеют более одной уязвимости, поэтому в одиннадцати плагинах всего 15 уязвимостей.

Из одиннадцати плагинов один имеет высокий уровень серьезности, а остальные — средний уровень серьезности.

Вот список плагинов, перечисленных в порядке убывания от самых последних к самым ранним. Числа рядом с уязвимостями обозначают, имеют ли они более одной уязвимости.

Список уязвимых дополнений Elementor

1. Дополнения ElementsKit Elementor (x2)
2. Неограниченное количество элементов для Elementor
3. 140+ Виджетов | Лучшие дополнения для Elementor
4. Лучшие дополнения Elementor
5. Дополнительные элементы Elementor (x2)
6. Мастер-аддоны для Elementor
7. Дополнительные дополнения для Elementor (x2)
8. Основные дополнения для Elementor (x2)
9. Дополнения Elementor Pack Elementor
10. Prime Slider – Дополнения для Elementor
11. Переместить аддоны для Elementor

Уязвимость высокой серьезности

Уязвимость высокой степени серьезности, обнаруженная в плагине Elementor Addons для WordPress, вызывает особую тревогу, поскольку она может подвергнуть опасности более миллиона веб-сайтов. Эта уязвимость имеет рейтинг 8,8 по шкале от 1 до 10.

Его популярность объясняется универсальностью плагина, который позволяет пользователям легко изменять практически любые элементы дизайна страницы в верхних, нижних колонтитулах и меню. Он также включает в себя обширную библиотеку шаблонов и 85 виджетов, которые добавляют дополнительную функциональность веб-страницам, созданным с помощью платформы для создания веб-сайтов Elementor.

Исследователи безопасности Wordfence описал угроза уязвимости:

«Плагин дополнений ElementsKit Elementor для WordPress уязвим к включению локальных файлов во всех версиях до 3.0.6 включительно через функцию render_raw. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участника и выше включать и выполнять произвольные файлы на сервере, позволяя выполнять любой PHP-код в этих файлах. Это можно использовать для обхода контроля доступа, получения конфиденциальных данных или выполнения кода в тех случаях, когда изображения и другие «безопасные» типы файлов могут быть загружены и включены».

Затронуты миллионы сайтов WordPress

Уязвимости могут затронуть более 3 миллионов веб-сайтов. Всего два плагина имеют в общей сложности три миллиона активных установок. Веб-сайты, как правило, используют только один из этих плагинов, поскольку между функциями существует определенная степень совпадения. Универсальность некоторых из этих плагинов означает, что для доступа к важным виджетам для добавления ползунков, меню и других элементов на странице необходим только один плагин.

Список уязвимых плагинов по количеству установок

1. Основные дополнения для Elementor — 2 миллиона
2. Аддоны ElementsKit Elementor – 1 миллион
3. Неограниченное количество элементов для Elementor — 200 тысяч
4. Элементы аддона Elementor – 100 тыс.
5. Дополнительные дополнения для Elementor – 100 тысяч
6. Пакет дополнений Elementor — 100 тыс.
7. Prime Slider – Аддоны для Elementor – 100 тысяч
8. Мастер-аддоны для Elementor – 40 тыс.
9. 140+ Виджетов | Лучшие аддоны для Elementor – 10 тысяч
10. Аддоны перемещения для Elementor – 3 тыс.
11. Лучшие дополнения Elementor – неизвестно – закрыто WordPress

Рекомендованное действие

Хотя многие из уязвимостей среднего уровня серьезности требуют, чтобы хакеры прошли аутентификацию на уровне участника, чтобы начать атаку, лучше не недооценивать риск, создаваемый другими плагинами или установленными темами, которые могут предоставить злоумышленнику возможность запуска этих конкретных атак.

Обычно разумно тестировать обновленные темы, прежде чем размещать обновления на работающем сайте.

Прочтите официальные рекомендации Wordfence (с номерами CVE):

А. 29 марта Дополнения Elementor Elementor <= 3.0.6 – Аутентифицированный (Contributor+) сохраненный межсайтовый скриптинг CVE-2024-1238

Б. 29 марта Дополнения ElementsKit Elementor <= 3.0.6 – включение локального файла с аутентификацией (Contributor+) в render_raw CVE-2024-2047 8.8 ВЫСОКАЯ УГРОЗА

29 марта Неограниченное количество элементов для Elementor <= 1.5.96 – аутентифицированный (участник+) сохраненный межсайтовый скриптинг через ссылку на виджет CVE-2024-0367

28 марта 140+ Виджетов | Лучшие дополнения для Elementor – БЕСПЛАТНО <= 1.4.2 – Аутентифицированный (участник +) сохраненный межсайтовый скриптинг CVE-2024-2250

28 марта Лучшие дополнения Elementor <= 1.4.1 — аутентифицированный (участник+) сохраненный межсайтовый скриптинг через ссылки на виджеты CVE-2024-2280

А. Elementor Addon Elements <= 1.13.1 – Аутентифицированный (участник+) сохраненный межсайтовый скриптинг CVE-2024-2091

Б. Элементы дополнения Elementor <= 1.13.2 — аутентифицированный (Contributor+) хранимый межсайтовый скриптинг на основе DOM через виджет «Разделитель текста» и виджет «Сравнение изображений» CVE-2024-2792

Основные дополнения для Elementor <= 2.0.5.6 – аутентифицированный (участник+) сохранение межсайтовых сценариев через виджет таблицы цен CVE-2024-2139

А. Дополнения Plus для Elementor <= 5.4.1 — включение локальных файлов с проверкой подлинности (участник+) через список членов команды CVE-2024-2210

Б. Дополнения Plus для Elementor <= 5.4.1 — включение локальных файлов с проверкой подлинности (Contributor+) через виджет клиентов CVE-2024-2203

А. Основные дополнения для Elementor — лучшие шаблоны Elementor, виджеты, наборы и конструкторы WooCommerce <= 5.9.11 — аутентифицированные (участник+) сохраненные межсайтовые сценарии (через параметр сообщения виджета обратного отсчета) CVE-2024-2623

Б. Основные дополнения для Elementor — лучшие шаблоны Elementor, виджеты, наборы и конструкторы WooCommerce <= 5.9.11 — аутентифицированные (участник+) сохраненные межсайтовые сценарии (через параметр выравнивания в виджете Woo Product Carousel) CVE-2024-2650

Element Pack Elementor Addons <= 5.5.3 – Аутентифицированный (участник+) сохраненный межсайтовый скриптинг по ссылке CVE-2024-30185

Prime Slider – Дополнения для Elementor <= 3.13.1 – Аутентифицированный (участник+) Сохраненный межсайтовый скриптинг через заголовок CVE-2024-30186

Переместить дополнения для Elementor <= 1.2.9 – Аутентифицированный (участник+) сохраненный межсайтовый скриптинг CVE-2024-2131

Рекомендованное изображение: Shutterstock/Андрей Мягков