Плагин Elementor WordPress имеет 6 уязвимостей

Исследователи безопасности выпустили рекомендации о шести уникальных XSS-уязвимостях, обнаруженных в Elementor Website Builder и его версии Pro, которые могут позволить злоумышленникам внедрять вредоносные скрипты.

Конструктор сайтов Elementor

Elementor — ведущая платформа для создания веб-сайтов с более чем 5 миллионами активных установок по всему миру, а официальный репозиторий WordPress утверждает, что поддерживает более 16 миллионов веб-сайтов по всему миру. Интерфейс перетаскивания позволяет любому быстро создавать профессиональные веб-сайты, а версия Pro расширяет платформу дополнительными виджетами и расширенными функциями электронной коммерции.

Эта популярность также сделала Elementor популярной мишенью для хакеров, что делает эти шесть уязвимостей особенно опасными.

Шесть XSS-уязвимостей

Elementor Website Builder и версия Pro содержат шесть различных уязвимостей межсайтового скриптинга (XSS). Пять уязвимостей связаны с недостаточной очисткой входных данных и утечкой выходных данных, а одна из них связана с недостаточной очисткой входных данных.

Очистка ввода — это стандартная практика кодирования, используемая для защиты областей плагина, которые позволяют пользователям вводить данные в поле формы или загружать медиафайлы. Процесс очистки блокирует любые входные данные, которые не соответствуют ожидаемым. Правильно защищенный ввод текстовых данных должен блокировать сценарии или HTML, что и делает очистка ввода.

Экранирование вывода — это процесс защиты того, что плагин выводит в браузер, чтобы он не подвергал браузер посетителя воздействию ненадежных сценариев.

Официальное руководство разработчика WordPress консультант по восстановлению ввода:

«Обеззараживание входных данных — это процесс защиты/очистки/фильтрации входных данных».

Важно отметить, что все шесть уязвимостей являются отдельными и совершенно не связанными друг с другом и возникают именно из-за недостаточной безопасности на стороне Elementor. Вполне возможно, что один из них, CVE-2024-2120, затрагивает как бесплатную, так и профессиональную версию. Я связался с Wordfence за разъяснениями и соответствующим образом обновлю эту статью, когда получу ответ.

ЧИТАТЬ   Уязвимость плагина соответствия GDPR Complianz WordPress

Список шести уязвимостей Elementor

Ниже приведен список шести уязвимостей и версий, на которые они влияют. Все шесть уязвимостей относятся к категории угроз средней безопасности. Первые два в списке влияют на конструктор веб-сайтов Elementor, а следующие четыре — на версию Pro. Номер CVE — это ссылка на официальную запись в базе данных Common Vulnerabilities and Exposures, которая служит ссылкой на известные уязвимости.

  1. Конструктор веб-сайтов Elementor (CVE-2024-2117)
    Влияет до версии 3.20.2 включительно — хранимые межсайтовые сценарии на основе DOM с проверкой подлинности через виджет Path Widget.
  2. Elementor Website Builder Pro (и, возможно, бесплатный) (CVE-2024-2120)
    Влияет до версии 3.20.1 включительно — сохранение межсайтовых сценариев с проверкой подлинности посредством навигации по публикациям.
  3. Elementor Website Builder Pro (CVE-2024-1521)
    Влияет до версии 3.20.1 включительно — сохраненные сценарии с межсайтовой аутентификацией через загрузку файла SVGZ виджета формы.
    Эта уязвимость затрагивает только серверы, на которых работают серверы на базе NGINX. Серверы, на которых работает Apache HTTP Server, не затронуты.
  4. Elementor Website Builder Pro (CVE-2024-2121)
    Влияет до версии 3.20.1 включительно — аутентифицированные сохраненные межсайтовые сценарии через виджет медиа-карусели.
  5. Elementor Website Builder Pro (CVE-2024-1364)
    Влияет до версии 3.20.1 включительно – сохранение межсайтовых сценариев с проверкой подлинности через виджеты custom_id.
  6. Elementor Website Builder Pro (CVE-2024-2781)
    Влияет до версии 3.20.1 включительно — аутентифицированный хранимый межсайтовый скриптинг на основе DOM через video_html_tag.

Все шесть уязвимостей классифицируются как угрозы средней безопасности и для их выполнения требуются разрешения на уровне участника.

Журнал изменений в конструкторе веб-сайтов Elementor

По данным Wordfence, в бесплатной версии Elementor есть две уязвимости. Но журнал изменений показывает, что исправление только одно.

ЧИТАТЬ   Закладки в интернете: преимущества и правила использования

Проблемы, влияющие на бесплатную версию, находятся в виджете пути и виджете навигации по публикациям.

Но список изменений в бесплатной версии показывает только патч для виджета текстового пути, а не навигацию по публикациям:

«Исправление безопасности: улучшено обеспечение безопасности кода в виджете пути к тексту»

Виджет навигации по публикациям — это функция навигации, которая позволяет посетителям сайта переходить к предыдущей или следующей публикации в серии публикаций.

Так что, хотя его нет в журнале изменений, он включен Журнал изменений Elementor Pro который показывает, что это исправлено в этой версии:

  • «Исправление безопасности: улучшено обеспечение безопасности кода в виджете «Медиа-карусель».
  • Исправление безопасности: улучшено обеспечение безопасности кода в виджете формы.
  • Исправление безопасности: улучшено обеспечение безопасности кода в виджете навигации по публикациям.
  • Исправление безопасности: улучшено обеспечение безопасности кода в виджете «Галерея».
  • Исправление безопасности: улучшено обеспечение безопасности кода в виджете списка воспроизведения видео».

Отсутствие записи в бесплатном журнале изменений может быть опечаткой Wordfence, поскольку в официальном сообщении Wordfence для CVE-2024-2120 запись «software slug» указана как elementor-pro.

Рекомендуемый курс действий

Пользователям обеих версий Elementor Website Builder рекомендуется обновить свой плагин до последней версии. Хотя реализация уязвимости требует от злоумышленника получения информации о разрешениях на уровне участника, это все еще возможно, особенно если у участников нет надежных паролей.

Прочтите официальные рекомендации Wordfence:

Elementor Website Builder — больше, чем просто конструктор страниц <= 3.20.2 — аутентифицированный (участник+) хранимый межсайтовый скриптинг на основе DOM через виджет Path CVE-2024-2117

Elementor Website Builder — больше, чем просто конструктор страниц <= 3.20.1 — аутентифицированный (Contributor+) хранимый межсайтовый скрипт через навигацию по публикациям CVE-2024-2120

Elementor Website Builder Pro <= 3.20.1 — аутентифицированный (участник+) сохраненный межсайтовый скрипт через виджет формы, загрузка SVGZ-файла CVE-2024-1521

ЧИТАТЬ   WordPress: как добавить строку запроса кампании UTM для внешних перенаправлений | Зона Мартех

Elementor Website Builder Pro <= 3.20.1 — аутентифицированный (участник+) сохраненный межсайтовый скриптинг CVE-2024-2121

Elementor Website Builder Pro <= 3.20.1 — аутентифицированный (участник+) сохраненный межсайтовый скриптинг через виджеты custom_id CVE-2024-1364

Elementor Website Builder Pro <= 3.20.1 — аутентифицированный (участник+) хранимый межсайтовый скриптинг на основе DOM через video_html_tag CVE-2024-2781

Рекомендованное изображение: Shutterstock/hugolacasse

Source