Elementor исправляет XSS-уязвимости, затрагивающие 7 миллионов сайтов WordPress

Пользователи Elementor, которые недавно не обновлялись, захотят как можно скорее получить последнюю версию 3.1.4. В феврале исследователи из Wordfence раскрыли его авторам набор сохраненных уязвимостей межсайтового скриптинга (XSS) в плагине, который был частично исправлен в то время, а дополнительные исправления были выпущены во вторую неделю марта.

Wordfence суммированы уязвимости в должности , опубликованной вчера, сопровождаются подробным пошаговомом того , как злоумышленник может компромиссные сайтов с помощью Факиру:

Эти уязвимости позволяли любому пользователю, имеющему доступ к редактору Elementor, включая участников, добавлять JavaScript в сообщения. Этот JavaScript будет выполнен, если сообщение просматривается, редактируется или предварительно просматривается любым другим пользователем сайта, и может использоваться для захвата сайта, если жертва является администратором.

Многие из «элементов» или компонентов подключаемого модуля принимают html_tag параметр, который выводится без экранирования и может быть настроен на выполнение сценария. Некоторые из уязвимых элементов включают столбец, гармошку, заголовок, разделитель, поле значков и поле изображения.

На момент публикации менее половины всех установок Elementor работают на версии 3.1.x, что оставляет миллионы сайтов по-прежнему уязвимыми. Wordfence подтвердил сегодня утром, что в настоящее время они не видят активных эксплойтов против этих уязвимостей.

«Из-за требуемых привилегий мы ожидаем, что он будет использоваться в первую очередь в целевых атаках, а не в массовых попытках», – сказал исследователь безопасности Wordfence Рам Галл. «То есть, скорее всего, он будет использоваться для повышения привилегий после того, как злоумышленник сможет проникнуть в дверь, а не для полной цепочки эксплойтов от начала до конца. Это будет больше беспокоить сайты, на которых много участников или авторов, поскольку это означает более широкую поверхность атаки. Основная причина, по которой это вызывает беспокойство, – огромное количество установок ».

Галл, обнаруживший уязвимости, описал сценарий, при котором их легче всего использовать. Участник на сайте повторно использует пароль, который был нарушен при утечке данных. Злоумышленник находит этот пароль, входит в систему и добавляет сообщение с вредоносным кодом. Администратор видит сообщение автора в админке. При посещении этого сообщения в браузере запускается вредоносный JavaScript, который, по словам Галла, может заразить сайт новыми мошенническими учетными записями администратора или кодом для захвата сайта.

Помимо краткого упоминания в журнале изменений, Elementor не предупреждал своих пользователей о проблемах безопасности в блогах продукта или учетных записях социальных сетей:

• Исправлено: усилены разрешенные параметры в редакторе для обеспечения более строгих политик безопасности.
• Исправлено: удалена  html опция в модуле Lightbox для предотвращения проблем с безопасностью.

«Первоначально Elementor был очень отзывчивым, хотя они не держали нас в курсе обновлений после первоначального отчета», – сказала представитель Wordfence Кэти Зант. «У них действительно есть контактная информация по вопросам безопасности, указанная на их сайте, что всегда полезно. Часто исследователям в области безопасности сложно найти нужного человека и связаться с ним, чтобы поделиться концепциями, подтверждающими уязвимость, поэтому мы всегда благодарны за то, что можем легко начать эти обсуждения ».

Последняя версия 3.1.4 содержит исправления для этих уязвимостей, а также исправления других менее серьезных ошибок в плагине. Пользователям Elementor рекомендуется выполнить обновление как можно скорее, чтобы избежать уязвимостей, используемых для захвата сайта.