Уязвимость дополнения к виджетам WordPress Elementor

Уязвимость дополнения к виджетам WordPress Elementor

Как опытный специалист по цифровому маркетингу с более чем десятилетним опытом работы за плечами, я не могу переоценить важность обеспечения безопасности наших сайтов WordPress, особенно при работе с популярными конструкторами страниц, такими как Elementor. Недавний патч для плагина Jeg Elementor Kit служит ярким напоминанием о продолжающейся борьбе с киберугрозами, с которыми мы сталкиваемся ежедневно.


Как опытный веб-мастер, я только что узнал, что недавний патч был применен к популярному надстройке плагина WordPress для конструктора страниц Elementor. Этот патч устраняет уязвимость, затрагивающую около 200 000 установок. Уязвимость, обнаруженная в плагине Jeg Elementor Kit, позволяет прошедшим проверку подлинности злоумышленникам загружать вредоносные скрипты на ничего не подозревающие сайты. Крайне важно обновить этот плагин как можно скорее, чтобы защитить ваш сайт от потенциальных угроз.

Сохраненные межсайтовые сценарии (сохраненный XSS)

Обновление решило проблему, которая потенциально позволяла хакеру загружать вредоносные файлы на веб-сервер, которые могли активироваться при посещении страницы пользователем, аналогично уязвимости хранимого межсайтового сценария. Это отличается от отраженного XSS, где атака требует, чтобы кто-то щелкнул ссылку, которая запускает эксплойт, без его ведома. Оба типа межсайтового сценария могут привести к полному контролю над сайтом.

Недостаточная санитарная обработка и утечка продукции

Другая проблема, которая была исправлена, касалась практики безопасности под названием «Эскейпирование вывода», которая представляет собой процесс, аналогичный фильтрации, который применяется к тому, что выводит сам плагин, предотвращая вывод им, например, вредоносного сценария. В частности, он преобразует символы, которые можно интерпретировать как код, не позволяя браузеру пользователя интерпретировать выходные данные как код и выполнять вредоносный сценарий.

Плагин WordPress под названием Jeg Elementor Kit, который используется до версии 2.6.7, содержит уязвимость. Эта уязвимость позволяет злоумышленникам, имеющим уровень доступа «Автор» или выше, использовать ее посредством неправильно очищенных и экранированных загрузок файлов SVG. В результате они могут вставлять на страницы непроверенные веб-скрипты, которые запускаются каждый раз, когда пользователь открывает связанный файл SVG.

Угроза среднего уровня

Уязвимость получила оценку угрозы среднего уровня 6,4 по шкале от 1 до 10. Пользователям рекомендуется выполнить обновление до Jeg Elementor Kit версии 2.6.8 (или выше, если доступно).

Jeg Elementor Kit <= 2.6.7 – аутентифицированный (Автор+) сохранение межсайтовых сценариев через SVG-файл

Смотрите также

2024-08-28 20:38