Wordfence توصیهای درباره یک آسیبپذیری وصلهشده در افزونه محبوب Happy Addons for Elementor صادر کرد که در بیش از 400000 وبسایت نصب شده است. این نقص امنیتی می تواند به مهاجمان اجازه دهد تا اسکریپت های مخربی را بارگذاری کنند که هنگام بازدید مرورگرها از صفحات آسیب دیده اجرا می شوند.
Addons مبارک برای Elementor
افزونه Happy Addons for Elementor صفحهساز Elementor را با دهها ابزارک رایگان و ویژگیهایی مانند شبکههای تصویر، عملکرد بازخورد و نظرات کاربر و منوهای پیمایش سفارشی گسترش میدهد. نسخه پولی این افزونه حتی قابلیت های طراحی بیشتری را ارائه می دهد که ایجاد وب سایت های کاربردی و جذاب وردپرس را آسان می کند.
اسکریپت بین سایتی ذخیره شده (XSS ذخیره شده)
XSS ذخیره شده یک آسیبپذیری است که معمولاً زمانی رخ میدهد که یک تم یا افزونه بهدرستی ورودیهای کاربر (به نام sanitization) را فیلتر نمیکند و اجازه میدهد اسکریپتهای مخرب در پایگاه داده آپلود شوند و در خود سرور ذخیره شوند. هنگامی که کاربر از وب سایت بازدید می کند، اسکریپت در مرورگر بارگیری می شود و اقداماتی مانند سرقت کوکی های مرورگر یا هدایت کاربر به یک وب سایت مخرب را انجام می دهد.
آسیبپذیری ذخیرهشده XSS که بر افزونه Happy Addons for Elementor تأثیر میگذارد، به یک هکر نیاز دارد که مجوزهای سطح Contributor (احراز هویت) را دریافت کند، که استفاده از این آسیبپذیری را سختتر میکند.
شرکت امنیتی وردپرس Wordfence به این آسیب پذیری 6.4 در مقیاس 1 تا 10 امتیاز داده است که یک سطح تهدید متوسط است.
طبق Wordfence:
افزونه Happy Addons for Elementor برای وردپرس به دلیل پاکسازی ناکافی ورودی و خروج خروجی از طریق پارامتر Before_label در ویجت مقایسه تصویر در همه نسخهها و از جمله 3.12.5 در برابر اسکریپتهای بین سایتی ذخیره شده آسیبپذیر است. این امکان را برای مهاجمان احراز هویت شده، با دسترسی در سطح Contributor و بالاتر، فراهم میکند تا اسکریپتهای وب دلخواه را در صفحاتی تزریق کنند که هر زمان که کاربر به صفحه تزریق شده دسترسی پیدا کند، اجرا میشوند.
کاربران پلاگین باید به آخرین نسخه، در حال حاضر 3.12.6، که حاوی یک وصله امنیتی برای آسیب پذیری است، به روز رسانی کنند.
توصیه Wordfence را بخوانید:
Addons مبارک برای Elementor
تصویر برجسته توسط Shutterstock/Red Cristal