Уязвимость аддонов WordPress Elementor затрагивает 400 тыс. сайтов • Продвижение Web 2.0

Wordfence выпустил предупреждение об уязвимости, исправленной в популярном плагине Happy Addons для Elementor, установленном на более чем 400 000 веб-сайтах. Уязвимость безопасности может позволить злоумышленникам загружать вредоносные сценарии, которые выполняются при посещении браузерами затронутых страниц.

Счастливые дополнения для Elementor

Плагин Happy Addons for Elementor расширяет конструктор страниц Elementor десятками бесплатных виджетов и функций, таких как сетки изображений, функция отзывов и обзоров пользователей, а также настраиваемые меню навигации. Платная версия плагина предлагает еще больше дизайнерских функций, которые позволяют легко создавать функциональные и привлекательные веб-сайты WordPress.

Сохраненные межсайтовые сценарии (сохраненный XSS)

Сохраненный XSS — это уязвимость, которая обычно возникает, когда тема или плагин не фильтруют должным образом вводимые пользователем данные (так называемая санация), что позволяет вредоносным сценариям загружаться в базу данных и храниться на самом сервере. Когда пользователь посещает веб-сайт, сценарий загружается в браузер и выполняет такие действия, как кража файлов cookie браузера или перенаправление пользователя на вредоносный веб-сайт.

Сохраненная XSS-уязвимость, влияющая на плагин Happy Addons for Elementor, требует от хакера получения разрешений на уровне участника (аутентификации), что затрудняет использование уязвимости.

Компания Wordfence, занимающаяся безопасностью WordPress, оценила уязвимость на уровне 6,4 по шкале от 1 до 10, что соответствует среднему уровню угрозы.

По данным Wordfence:

«Плагин Happy Addons for Elementor для WordPress уязвим к хранимому межсайтовому скриптингу через параметр before_label в виджете сравнения изображений во всех версиях до 3.12.5 включительно из-за недостаточной очистки ввода и экранирования вывода. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участника и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь обращается к внедренной странице».

Пользователям плагина следует рассмотреть возможность обновления до последней версии, в настоящее время 3.12.6, которая содержит исправление безопасности для этой уязвимости.

ЧИТАТЬ Фестиваль IT Donor Week – 4 декабря 2023 г. | Цифровые мероприятия

Прочтите рекомендации Wordfence:

Счастливые дополнения для Elementor

Рекомендованное изображение: Shutterstock/Red Cristal

Source link