آسیب پذیری افزونه های وردپرس Elementor بر 400 هزار سایت تأثیر می گذارد

Wordfence توصیه‌ای درباره یک آسیب‌پذیری وصله‌شده در افزونه محبوب Happy Addons for Elementor صادر کرد که در بیش از 400000 وب‌سایت نصب شده است. این نقص امنیتی می تواند به مهاجمان اجازه دهد تا اسکریپت های مخربی را بارگذاری کنند که هنگام بازدید مرورگرها از صفحات آسیب دیده اجرا می شوند.

Addons مبارک برای Elementor

افزونه Happy Addons for Elementor صفحه‌ساز Elementor را با ده‌ها ابزارک رایگان و ویژگی‌هایی مانند شبکه‌های تصویر، عملکرد بازخورد و نظرات کاربر و منوهای پیمایش سفارشی گسترش می‌دهد. نسخه پولی این افزونه حتی قابلیت های طراحی بیشتری را ارائه می دهد که ایجاد وب سایت های کاربردی و جذاب وردپرس را آسان می کند.

اسکریپت بین سایتی ذخیره شده (XSS ذخیره شده)

XSS ذخیره شده یک آسیب‌پذیری است که معمولاً زمانی رخ می‌دهد که یک تم یا افزونه به‌درستی ورودی‌های کاربر (به نام sanitization) را فیلتر نمی‌کند و اجازه می‌دهد اسکریپت‌های مخرب در پایگاه داده آپلود شوند و در خود سرور ذخیره شوند. هنگامی که کاربر از وب سایت بازدید می کند، اسکریپت در مرورگر بارگیری می شود و اقداماتی مانند سرقت کوکی های مرورگر یا هدایت کاربر به یک وب سایت مخرب را انجام می دهد.

آسیب‌پذیری ذخیره‌شده XSS که بر افزونه Happy Addons for Elementor تأثیر می‌گذارد، به یک هکر نیاز دارد که مجوزهای سطح Contributor (احراز هویت) را دریافت کند، که استفاده از این آسیب‌پذیری را سخت‌تر می‌کند.

شرکت امنیتی وردپرس Wordfence به این آسیب پذیری 6.4 در مقیاس 1 تا 10 امتیاز داده است که یک سطح تهدید متوسط ​​است.

طبق Wordfence:

افزونه Happy Addons for Elementor برای وردپرس به دلیل پاکسازی ناکافی ورودی و خروج خروجی از طریق پارامتر Before_label در ویجت مقایسه تصویر در همه نسخه‌ها و از جمله 3.12.5 در برابر اسکریپت‌های بین سایتی ذخیره شده آسیب‌پذیر است. این امکان را برای مهاجمان احراز هویت شده، با دسترسی در سطح Contributor و بالاتر، فراهم می‌کند تا اسکریپت‌های وب دلخواه را در صفحاتی تزریق کنند که هر زمان که کاربر به صفحه تزریق شده دسترسی پیدا کند، اجرا می‌شوند.

کاربران پلاگین باید به آخرین نسخه، در حال حاضر 3.12.6، که حاوی یک وصله امنیتی برای آسیب پذیری است، به روز رسانی کنند.

توصیه Wordfence را بخوانید:

Addons مبارک برای Elementor

تصویر برجسته توسط Shutterstock/Red Cristal

Source link