یک افزونه افزونه وردپرس برای صفحه ساز محبوب Elementor اخیراً آسیب پذیری را اصلاح کرده است که بیش از 200000 نصب را تحت تأثیر قرار داده است. این اکسپلویت که در افزونه Jeg Elementor Kit یافت می شود، به مهاجمان احراز هویت شده اجازه می دهد تا اسکریپت های مخرب را آپلود کنند.
اسکریپت بین سایتی ذخیره شده (XSS ذخیره شده)
این وصله مشکلی را برطرف کرد که میتوانست منجر به یک اکسپلویت ذخیره شده Cross-Site Scripting شود که به مهاجم اجازه میدهد فایلهای مخرب را در سرور وبسایت آپلود کند، جایی که میتواند هنگام بازدید کاربر از صفحه وب فعال شود. این با یک XSS Reflected که نیاز به فریب دادن یک مدیر یا کاربر دیگر دارد تا روی پیوندی که سوءاستفاده را آغاز می کند کلیک کند، متفاوت است. هر دو نوع XSS می توانند به تصاحب کامل سایت منجر شوند.
سالم سازی ناکافی و خروج خروجی
Wordfence توصیهای را ارسال کرد که اشاره کرد منبع آسیبپذیری در یک عمل امنیتی به نام پاکسازی که استانداردی است نیاز به یک افزونه برای فیلتر کردن آنچه کاربر میتواند وارد وبسایت کند، از بین رفته است. بنابراین اگر یک تصویر یا متن همان چیزی است که انتظار میرود، همه انواع ورودیها باید مسدود شوند.
مشکل دیگری که وصله شد مربوط به یک عمل امنیتی به نام Output Ecaping بود که فرآیندی شبیه به فیلتر کردن است که برای آنچه خود افزونه خروجی میدهد اعمال میشود و از خروجی آن به عنوان مثال یک اسکریپت مخرب جلوگیری میکند. کاری که به طور خاص انجام می دهد تبدیل کاراکترهایی است که می توانند به عنوان کد تفسیر شوند و از تفسیر خروجی به عنوان کد توسط مرورگر کاربر و اجرای یک اسکریپت مخرب جلوگیری می کند.
مشاوره Wordfence توضیح می دهد:
پلاگین Jeg Elementor Kit برای وردپرس در برابر اسکریپتهای بین سایتی ذخیره شده از طریق آپلود فایل SVG در همه نسخهها و از جمله 2.6.7 به دلیل پاکسازی ناکافی ورودی و خروج خروجی آسیبپذیر است. این امکان را برای مهاجمان احراز هویت شده، با دسترسی در سطح نویسنده و بالاتر، میدهد تا اسکریپتهای وب دلخواه را در صفحاتی تزریق کنند که هر زمان که کاربر به فایل SVG دسترسی پیدا کند، اجرا میشوند.
تهدید سطح متوسط
این آسیبپذیری نمره تهدید سطح متوسط 6.4 را در مقیاس 1 تا 10 دریافت کرد. به کاربران توصیه میشود که به Jeg Elementor Kit نسخه 2.6.8 (یا بالاتر در صورت موجود بودن) بهروزرسانی کنند.
توصیه Wordfence را بخوانید:
کیت المنتور جگ
تصویر ویژه توسط Shutterstock/Cast Of Thousands