Исследователи безопасности выпустили предупреждение о шести уникальных уязвимостях XSS, обнаруженных в Elementor Website Builder и его версии Pro, которые могут позволить злоумышленникам внедрять вредоносные скрипты.
Содержание
конструктор сайтов Elementor
Elementor — ведущая платформа для создания веб-сайтов с более чем 5 миллионами активных установок по всему миру. В официальном репозитории WordPress указано, что она поддерживает более 16 миллионов веб-сайтов по всему миру. Интерфейс перетаскивания позволяет любому быстро создавать профессиональные веб-сайты, а версия Pro расширяет платформу дополнительными виджетами и расширенными функциями электронной коммерции.
Эта популярность также сделала Elementor популярной мишенью для хакеров, поэтому эти шесть уязвимостей вызывают особое беспокойство.
Шесть XSS-уязвимостей
Версия Elementor Website Builder и Pro содержат шесть различных уязвимостей межсайтового скриптинга (XSS). Пять уязвимостей связаны с недостаточной очисткой входных данных и утечкой выходных данных, а одна из них связана с недостаточной очисткой входных данных.
Очистка ввода — это стандартная практика кодирования, используемая для защиты областей плагина, которые позволяют пользователям вводить данные в поле формы или загружать медиафайлы. Процесс очистки блокирует любые входные данные, которые не соответствуют ожиданиям. Правильно защищенный ввод текстовых данных должен блокировать сценарии или HTML, что и делает очистка ввода.
Экранирование вывода — это процесс проверки того, что плагин выводит в браузер, чтобы предотвратить подвергание браузера посетителя веб-сайта воздействию ненадежных сценариев.
Официальное руководство разработчика WordPress рекомендует дезинфицировать записи:
«Очистка входных данных включает в себя резервное копирование, очистку и фильтрацию входных данных».
Важно отметить, что все шесть уязвимостей различны и совершенно не связаны друг с другом и возникают именно из-за недостаточной безопасности со стороны Elementor. Вполне возможно, что один из них, CVE-2024-2120, затрагивает как бесплатную, так и профессиональную версию. Я связался с Wordfence, чтобы прояснить этот вопрос, и обновлю эту статью соответствующим образом, как только получу ответ.
Список шести уязвимостей Elementor
Ниже приведен список шести уязвимостей и версий, на которые они влияют. Все шесть уязвимостей классифицируются как угроза средней безопасности. Первые два в списке относятся к конструктору веб-сайтов Elementor, а следующие четыре — к версии Pro. Номер CVE — это ссылка на официальную запись в базе данных Common Vulnerabilities and Exposures, которая служит ссылкой на известные уязвимости.
- Конструктор веб-сайтов Elementor (CVE-2024-2117)
Влияет до версии 3.20.2 включительно — хранимые межсайтовые сценарии на основе DOM с проверкой подлинности через виджет Path Widget. - Elementor Website Builder Pro (и, возможно, бесплатный) (CVE-2024-2120)
Влияет до версии 3.20.1 включительно. Аутентифицированные сохраненные межсайтовые сценарии через навигацию по публикациям. - Elementor Website Builder Pro (CVE-2024-1521)
Влияет до версии 3.20.1 включительно. Аутентифицированные сохраненные межсайтовые сценарии через загрузку файла SVGZ виджета формы.
Эта уязвимость затрагивает только серверы, на которых работают серверы на базе NGINX. Серверы, на которых работает Apache HTTP Server, не затронуты. - Elementor Website Builder Pro (CVE-2024-2121)
Влияет до версии 3.20.1 включительно. Аутентификация сохраненных межсайтовых сценариев через виджет медиа-карусели. - Elementor Website Builder Pro (CVE-2024-1364)
Влияет до версии 3.20.1 включительно. Аутентифицированное сохранение межсайтовых сценариев через виджет custom_ID. - Elementor Website Builder Pro (CVE-2024-2781)
Влияет до версии 3.20.1 включительно — аутентифицированный хранимый межсайтовый скриптинг на основе DOM через video_html_tag.
Все шесть уязвимостей классифицируются как угрозы безопасности среднего уровня, и для их выполнения требуется уровень разрешений участника.
Журнал изменений конструктора веб-сайтов Elementor
По данным Wordfence, в бесплатной версии Elementor есть две уязвимости. Но журнал изменений показывает, что исправление только одно.
Проблемы, влияющие на бесплатную версию, заключаются в виджете пути и виджете навигации по публикациям.
Но Список изменений в бесплатной версии указан только патч для виджета текстового пути, а не патч для навигации по публикациям:
«Исправление безопасности: улучшено обеспечение безопасности кода в виджете текстового пути»
Виджет навигации по публикациям — это функция навигации, которая позволяет посетителям сайта переходить к предыдущей или следующей публикации в серии публикаций.
Хотя он отсутствует в журнале изменений, он включен в журнал изменений. Журнал изменений Elementor Pro который показывает, что это исправлено в этой версии:
- «Исправление безопасности: улучшено обеспечение безопасности кода в виджете медиа-карусели.
- Обновление безопасности: улучшено обеспечение безопасности кода в виджете формы.
- Обновление безопасности: улучшено обеспечение безопасности кода в виджете навигации по публикациям.
- Обновление безопасности: улучшено обеспечение безопасности кода в виджете «Галерея».
- Исправление безопасности: улучшено обеспечение безопасности кода в виджете списка воспроизведения видео».
Отсутствующая запись в бесплатном журнале изменений может быть опечаткой со стороны Wordfence, поскольку в официальном сообщении Wordfence для CVE-2024-2120 запись «программный фрагмент» указана как elementor-pro.
Рекомендуемый подход
Пользователям обеих версий Elementor Website Builder рекомендуется обновить свой плагин до последней версии. Хотя использование уязвимости потребует от злоумышленника получения учетных данных уровня участника, это все еще вполне возможно, особенно если у участников нет надежных паролей.
Прочтите официальные заметки Wordfence:
Рекомендованное изображение с сайта Shutterstock/hugolacasse
