آسیب پذیری افزونه ابزارک های وردپرس Elementor

یک افزونه افزونه وردپرس برای صفحه ساز محبوب Elementor اخیراً آسیب پذیری را اصلاح کرده است که بیش از 200000 نصب را تحت تأثیر قرار داده است. این اکسپلویت که در افزونه Jeg Elementor Kit یافت می شود، به مهاجمان احراز هویت شده اجازه می دهد تا اسکریپت های مخرب را آپلود کنند.

اسکریپت بین سایتی ذخیره شده (XSS ذخیره شده)

این وصله مشکلی را برطرف کرد که می‌توانست منجر به یک اکسپلویت ذخیره شده Cross-Site Scripting شود که به مهاجم اجازه می‌دهد فایل‌های مخرب را در سرور وب‌سایت آپلود کند، جایی که می‌تواند هنگام بازدید کاربر از صفحه وب فعال شود. این با یک XSS Reflected که نیاز به فریب دادن یک مدیر یا کاربر دیگر دارد تا روی پیوندی که سوءاستفاده را آغاز می کند کلیک کند، متفاوت است. هر دو نوع XSS می توانند به تصاحب کامل سایت منجر شوند.

سالم سازی ناکافی و خروج خروجی

Wordfence توصیه‌ای را ارسال کرد که اشاره کرد منبع آسیب‌پذیری در یک عمل امنیتی به نام پاکسازی که استانداردی است نیاز به یک افزونه برای فیلتر کردن آنچه کاربر می‌تواند وارد وب‌سایت کند، از بین رفته است. بنابراین اگر یک تصویر یا متن همان چیزی است که انتظار می‌رود، همه انواع ورودی‌ها باید مسدود شوند.

مشکل دیگری که وصله شد مربوط به یک عمل امنیتی به نام Output Ecaping بود که فرآیندی شبیه به فیلتر کردن است که برای آنچه خود افزونه خروجی می‌دهد اعمال می‌شود و از خروجی آن به عنوان مثال یک اسکریپت مخرب جلوگیری می‌کند. کاری که به طور خاص انجام می دهد تبدیل کاراکترهایی است که می توانند به عنوان کد تفسیر شوند و از تفسیر خروجی به عنوان کد توسط مرورگر کاربر و اجرای یک اسکریپت مخرب جلوگیری می کند.

مشاوره Wordfence توضیح می دهد:

پلاگین Jeg Elementor Kit برای وردپرس در برابر اسکریپت‌های بین سایتی ذخیره شده از طریق آپلود فایل SVG در همه نسخه‌ها و از جمله 2.6.7 به دلیل پاکسازی ناکافی ورودی و خروج خروجی آسیب‌پذیر است. این امکان را برای مهاجمان احراز هویت شده، با دسترسی در سطح نویسنده و بالاتر، می‌دهد تا اسکریپت‌های وب دلخواه را در صفحاتی تزریق کنند که هر زمان که کاربر به فایل SVG دسترسی پیدا کند، اجرا می‌شوند.

تهدید سطح متوسط

این آسیب‌پذیری نمره تهدید سطح متوسط ​​6.4 را در مقیاس 1 تا 10 دریافت کرد. به کاربران توصیه می‌شود که به Jeg Elementor Kit نسخه 2.6.8 (یا بالاتر در صورت موجود بودن) به‌روزرسانی کنند.

توصیه Wordfence را بخوانید:

کیت المنتور جگ

تصویر ویژه توسط Shutterstock/Cast Of Thousands

Source link