Исследователи безопасности выпустили предупреждение о шести уникальных уязвимостях XSS, обнаруженных в Elementor Website Builder и его версии Pro, которые могут позволить злоумышленникам внедрять вредоносные скрипты.

конструктор сайтов Elementor

Elementor — ведущая платформа для создания веб-сайтов с более чем 5 миллионами активных установок по всему миру. В официальном репозитории WordPress указано, что она поддерживает более 16 миллионов веб-сайтов по всему миру. Интерфейс перетаскивания позволяет любому быстро создавать профессиональные веб-сайты, а версия Pro расширяет платформу дополнительными виджетами и расширенными функциями электронной коммерции.

Эта популярность также сделала Elementor популярной мишенью для хакеров, поэтому эти шесть уязвимостей вызывают особое беспокойство.

Шесть XSS-уязвимостей

Версия Elementor Website Builder и Pro содержат шесть различных уязвимостей межсайтового скриптинга (XSS). Пять уязвимостей связаны с недостаточной очисткой входных данных и утечкой выходных данных, а одна из них связана с недостаточной очисткой входных данных.

Очистка ввода — это стандартная практика кодирования, используемая для защиты областей плагина, которые позволяют пользователям вводить данные в поле формы или загружать медиафайлы. Процесс очистки блокирует любые входные данные, которые не соответствуют ожиданиям. Правильно защищенный ввод текстовых данных должен блокировать сценарии или HTML, что и делает очистка ввода.

Экранирование вывода — это процесс проверки того, что плагин выводит в браузер, чтобы предотвратить подвергание браузера посетителя веб-сайта воздействию ненадежных сценариев.

Официальное руководство разработчика WordPress рекомендует дезинфицировать записи:

«Очистка входных данных включает в себя резервное копирование, очистку и фильтрацию входных данных».

Важно отметить, что все шесть уязвимостей различны и совершенно не связаны друг с другом и возникают именно из-за недостаточной безопасности со стороны Elementor. Вполне возможно, что один из них, CVE-2024-2120, затрагивает как бесплатную, так и профессиональную версию. Я связался с Wordfence, чтобы прояснить этот вопрос, и обновлю эту статью соответствующим образом, как только получу ответ.

ЧИТАТЬ  Google предоставляет SEO-консультации по поводу нарушения безопасности LastPass

Список шести уязвимостей Elementor

Ниже приведен список шести уязвимостей и версий, на которые они влияют. Все шесть уязвимостей классифицируются как угроза средней безопасности. Первые два в списке относятся к конструктору веб-сайтов Elementor, а следующие четыре — к версии Pro. Номер CVE — это ссылка на официальную запись в базе данных Common Vulnerabilities and Exposures, которая служит ссылкой на известные уязвимости.

  1. Конструктор веб-сайтов Elementor (CVE-2024-2117)
    Влияет до версии 3.20.2 включительно — хранимые межсайтовые сценарии на основе DOM с проверкой подлинности через виджет Path Widget.
  2. Elementor Website Builder Pro (и, возможно, бесплатный) (CVE-2024-2120)
    Влияет до версии 3.20.1 включительно. Аутентифицированные сохраненные межсайтовые сценарии через навигацию по публикациям.
  3. Elementor Website Builder Pro (CVE-2024-1521)
    Влияет до версии 3.20.1 включительно. Аутентифицированные сохраненные межсайтовые сценарии через загрузку файла SVGZ виджета формы.
    Эта уязвимость затрагивает только серверы, на которых работают серверы на базе NGINX. Серверы, на которых работает Apache HTTP Server, не затронуты.
  4. Elementor Website Builder Pro (CVE-2024-2121)
    Влияет до версии 3.20.1 включительно. Аутентификация сохраненных межсайтовых сценариев через виджет медиа-карусели.
  5. Elementor Website Builder Pro (CVE-2024-1364)
    Влияет до версии 3.20.1 включительно. Аутентифицированное сохранение межсайтовых сценариев через виджет custom_ID.
  6. Elementor Website Builder Pro (CVE-2024-2781)
    Влияет до версии 3.20.1 включительно — аутентифицированный хранимый межсайтовый скриптинг на основе DOM через video_html_tag.

Все шесть уязвимостей классифицируются как угрозы безопасности среднего уровня, и для их выполнения требуется уровень разрешений участника.

Журнал изменений конструктора веб-сайтов Elementor

По данным Wordfence, в бесплатной версии Elementor есть две уязвимости. Но журнал изменений показывает, что исправление только одно.

Проблемы, влияющие на бесплатную версию, заключаются в виджете пути и виджете навигации по публикациям.

ЧИТАТЬ  Обновление алгоритма ранжирования в поиске Google — 18–19 августа (не подтверждено)

Но Список изменений в бесплатной версии указан только патч для виджета текстового пути, а не патч для навигации по публикациям:

«Исправление безопасности: улучшено обеспечение безопасности кода в виджете текстового пути»

Виджет навигации по публикациям — это функция навигации, которая позволяет посетителям сайта переходить к предыдущей или следующей публикации в серии публикаций.

Хотя он отсутствует в журнале изменений, он включен в журнал изменений. Журнал изменений Elementor Pro который показывает, что это исправлено в этой версии:

  • «Исправление безопасности: улучшено обеспечение безопасности кода в виджете медиа-карусели.
  • Обновление безопасности: улучшено обеспечение безопасности кода в виджете формы.
  • Обновление безопасности: улучшено обеспечение безопасности кода в виджете навигации по публикациям.
  • Обновление безопасности: улучшено обеспечение безопасности кода в виджете «Галерея».
  • Исправление безопасности: улучшено обеспечение безопасности кода в виджете списка воспроизведения видео».

Отсутствующая запись в бесплатном журнале изменений может быть опечаткой со стороны Wordfence, поскольку в официальном сообщении Wordfence для CVE-2024-2120 запись «программный фрагмент» указана как elementor-pro.

Рекомендуемый подход

Пользователям обеих версий Elementor Website Builder рекомендуется обновить свой плагин до последней версии. Хотя использование уязвимости потребует от злоумышленника получения учетных данных уровня участника, это все еще вполне возможно, особенно если у участников нет надежных паролей.

Прочтите официальные заметки Wordfence:

Elementor Website Builder — больше, чем просто конструктор страниц <= 3.20.2 — аутентифицированный (Contributor+) хранимый межсайтовый скриптинг на основе DOM через виджет Path CVE-2024-2117

Elementor Website Builder — больше, чем просто конструктор страниц <= 3.20.1 — аутентифицированный (Contributor+) сохраненный межсайтовый скриптинг через навигацию по публикациям CVE-2024-2120

Elementor Website Builder Pro <= 3.20.1 — аутентифицированный (участник+) сохранение межсайтовых сценариев через виджет формы Загрузка файла SVGZ CVE-2024-1521

ЧИТАТЬ  Windows 11 становится все более популярной среди геймеров, но не у всех остальных

Elementor Website Builder Pro <= 3.20.1 — аутентифицированный (участник+) сохраненный межсайтовый скриптинг CVE-2024-2121

Elementor Website Builder Pro <= 3.20.1 — аутентифицированный (Contributor+) сохраненный межсайтовый скриптинг через виджет custom_ID CVE-2024-1364

Elementor Website Builder Pro <= 3.20.1 — аутентифицированный (Contributor+) сохраненный межсайтовый скриптинг на основе DOM через video_html_tag CVE-2024-2781

Рекомендованное изображение с сайта Shutterstock/hugolacasse

Source