محققان امنیتی Wordfence کشف کردند که تقریباً هر افزونه آزمایش شده ای که به Elementor قابلیت اضافه می کند ، دارای یک آسیب پذیری است. بسیاری از ناشران افزونه تماس گرفته شده افزونه های خود را به روز کردند اما همه پاسخ ندادند ، از جمله افزونه های ممتاز.
افزونه صفحه ساز Elementor نیز در فوریه 2021 آسیب پذیری مشابهی را اصلاح کرد.
این آسیب پذیری روی افزونه های الحاقی Elementor که توسط اشخاص ثالث ایجاد شده اند تأثیر می گذارد.
تبلیغات
ادامه مطلب را در زیر بخوانید
طبق Wordfence:
“تقریباً در هر افزونه ای که بررسی کردیم آسیب پذیری های یکسانی پیدا کردیم که عناصر اضافی را به سازنده صفحه Elementor اضافه می کند.”
بنابراین به نظر می رسد که این آسیب پذیری در پلاگین های شخص ثالث که افزونه های Elementor هستند نسبتاً گسترده است
آسیب پذیری اسکریپت نویسی بین سایت ذخیره شده
آسیب پذیری اسکریپت نویسی بین سایت ذخیره شده به ویژه مشکل ساز است زیرا اسکریپت مخرب در خود وب سایت بارگذاری و ذخیره می شود. سپس هنگامی که یک کاربر از صفحه وب تحت تأثیر بازدید می کند ، مرورگر اسکریپت مخرب را اجرا می کند.
اگر شخصی که از سایت بازدید می کند به سیستم وارد شده و دارای دسترسی سطح مدیر است ، می توان از اسکریپت استفاده کرد تا سطح دسترسی به هکر را فراهم کند و منجر به تصرف کامل سایت شود.
تبلیغات
ادامه مطلب را در زیر بخوانید
این آسیب پذیری خاص به مهاجمی که حداقل دارای اجازه سطح همکار است اجازه می دهد اسکریپتی را در مکانی که قرار است یک عنصر (مانند عنصر هدر) باشد بارگذاری کند.
این حمله شبیه حمله ای است که Elementor در فوریه 2021 وصله گذاری کرد.
اینگونه آسیب پذیری Elementor توصیف می شود:
“… عنصر” Heading “می تواند برای استفاده از برچسب های H1 ، H2 ، H3 و غیره به منظور اعمال اندازه های مختلف عنوان از طریق پارامتر header_size تنظیم شود.
متأسفانه ، برای شش مورد از این عناصر ، برچسب های HTML در سمت سرور معتبر نبودند ، بنابراین این امکان برای هر کاربری وجود داشت که می تواند به ویرایشگر Elementor دسترسی داشته باشد ، از جمله مشارکت کنندگان ، با استفاده از این گزینه جاوا اسکریپت اجرایی را به یک پست یا صفحه از طریق یک درخواست ساخته شده. “
لیست افزونه های برتر افزونه Elementor ثابت
لیست زیر هفده افزونه برای Elementor که تحت تأثیر قرار گرفته اند ، در میلیون ها سایت نصب شده است.
از این پلاگین ها بیش از صد نقطه پایان وجود دارد ، به این معنی که چندین آسیب پذیری در هر پلاگین وجود دارد که در آن مهاجم می تواند یک پرونده مخرب JavaScript را بارگذاری کند.
لیست زیر فقط یک لیست جزئی است.
اگر افزونه شخص ثالث شما که به Elementor قابلیت اضافه می کند لیست نشده است ، لازم است با ناشر تماس بگیرید تا مطمئن شوید که آیا بررسی شده است یا خیر که آیا این آسیب پذیری را نیز در بر دارد.
تبلیغات
ادامه مطلب را در زیر بخوانید
لیست 17 افزونه برتر عنصر وصله شده
- افزودنیهای ضروری برای Elementor
- Elementor – الگوی سرصفحه ، پاورقی و بلوک
- افزودنیهای نهایی برای Elementor
- حق بیمه اضافی برای Elementor
- کیت های ElementsKit
- Elementor Addon Elements
- Livemesh Addons برای Elementor
- HT Mega – افزودنیهای مطلق برای صفحه ساز عناصر
- WooLentor – WooCommerce Elementor Addons + Builder
- افزونه های PowerPack برای Elementor
- جلوه های شناور تصویر – Elementor Addon
- افزونه ها و الگوهای عنصر Rife
- افزونه های Plus برای Elementor Page Builder Lite
- افزودنیهای همه در یک برای Elementor – WidgetKit
- JetWidgets برای Elementor
- پسوند سینا برای المنتور
- DethemeKit For Elementor
در صورت استفاده از افزونه Elementor چه باید کرد؟
ناشران با استفاده از افزونه های شخص ثالث برای Elementor باید مطمئن شوند که این پلاگین ها به روز شده اند تا این آسیب پذیری را وصله کنند.
در حالی که این آسیب پذیری حداقل به دسترسی به سطح همکار نیاز دارد ، هکری که به طور خاص سایتی را هدف قرار می دهد می تواند از حملات یا استراتژی های مختلف برای به دست آوردن این اعتبارات ، از جمله مهندسی اجتماعی استفاده کند.
تبلیغات
ادامه مطلب را در زیر بخوانید
طبق Wordfence:
“ممکن است دسترسی به یک حساب دارای امتیازات مشارکت کننده برای دسترسی آسان به دسترسی به اعتبار نامه های اداری آسان تر باشد ، و از یک آسیب پذیری از این نوع می توان برای افزایش امتیازات با اجرای JavaScript در جلسه مرورگر مدیر مرور استفاده کرد.”
اگر افزونه شخص ثالث شما در Elementor به تازگی برای اصلاح آسیب پذیری به روز نشده است ، می توانید با ناشر آن افزونه تماس بگیرید تا از بی خطر بودن آن مطمئن شوید.
استناد
وصله های اخیر اکوسیستم Elementor را لرزاند