Especialistas em segurança divulgaram um alerta sobre uma falha encontrada no conhecido complemento Essential Addons For Elementor WordPress, que foi identificado como uma vulnerabilidade de Script Stored Cross-Site Scripting afetando mais de 2 milhões de sites.
As vulnerabilidades são causadas pelas garras presentes em dois widgets distintos que integram o plugin.
Dois recursos que resultam em vulnerabilidades.
- Contador regressivo em formato de widget.
- Widget de carrossel de lã.
Itens fundamentais para Elementor.
O Essential Addons é uma extensão do conhecido construtor de páginas Elementor para WordPress, que facilita a criação de sites para todos. Com os Addons Essenciais, é possível incluir mais recursos e widgets ao site.
A fragilidade ou susceptibilidade.
A equipe do Wordfence divulgou que o plugin possuía uma brecha de segurança do tipo Cross-Site Scripting (XSS) armazenada, que possibilitava a um invasor carregar um script malicioso e atacar os navegadores dos visitantes do site, podendo resultar no roubo de cookies de sessão para assumir o controle do site.
As vulnerabilidades de Cross-Site Scripting (XSS) são frequentes e resultam de uma falha na sanitização de campos que permitem a inserção de texto ou imagens.
Os plugins geralmente realizam a “sanitização” das entradas, o que implica que eles filtram conteúdos indesejados, como scripts.
Outra vulnerabilidade XSS é causada pela falta de “escape output”, que envolve a remoção de qualquer saída contendo dados indesejados para evitar que eles cheguem ao navegador.
A Wordfence menciona que tanto as falhas como os problemas foram determinantes para as vulnerabilidades.
Eles deram um aviso sobre o widget de contagem regressiva.
O plugin Essential Addons for Elementor – Best Elementor Models, Widgets, Kits & WooCommerce Builders is vulnerable to Stored Cross-Site Scripting through the message parameter of the countdown widget in all versions up to, and including, 5.9.11 due to insufficient input sanitization and output escaping.
Isso permite que atacantes autenticados, com permissões de contribuinte ou superiores, insiram scripts web arbitrários em páginas que serão executados sempre que um usuário acessar a página injetada.
A informação acerca do item feito de lã, o Carousel Widget.
O plugin Essential Addons for Elementor para WordPress tem uma vulnerabilidade de Cross-Site Scripting armazenada no widget de carrossel de produto Woo, em todas as versões até 5.9.10. Isso ocorre devido à falta de adequada limpeza de entrada e saída de dados.
Consulte também:
- Dicas de segurança do WordPress para garantir a proteção do seu site.
- Como proteger seu site no WordPress: 16 ações para garantir a segurança.
Ataques que são validados.
A expressão “atacadores autenticados” significa que um hacker deve obter previamente credenciais do site para realizar o ataque. A vulnerabilidade do Essential Addons for Elementor exige que o invasor tenha acesso como contribuinte ou superior.
Risco moderado identificado – Aconselhável fazer a atualização.
A vulnerabilidade foi avaliada como uma ameaça moderada, recebendo uma pontuação de 6,4 em uma escala de 1 a 10, onde 10 representa o nível mais elevado de risco.
Pessoas que utilizam o plug-in com a versão 5.9.11 ou anterior devem considerar atualizar para a versão mais recente, que é a 5.9.13.
Por favor, certifique-se de ler as instruções de segurança fornecidas pelo Wordfence.
Itens indispensáveis para Elementor – Principais Templates Elementor, Widgets, Conjuntos e Construtores do WooCommerce <= 5.9.11 - Vulnerabilidade de Scripts Armazenados em Sites Cruzados (Contributor+)
Itens importantes para Elementor – Principais Templates Elementor, Widgets, Conjuntos e Construtores WooCommerce <= 5.9.11 - Vulnerabilidade de Script Cruzado Armazenado (Contribuidor+)
Imagem principal fornecida por Shutterstock, créditos para Aleksandrs Sokolovs.