Os pesquisadores emitiram alertas para onze plug-ins complementares Elementor separados com 15 vulnerabilidades que podem permitir que hackers carreguem arquivos maliciosos. Um deles é classificado como uma vulnerabilidade de alta ameaça porque pode permitir que hackers contornem controles de acesso, executem scripts e obtenham dados confidenciais.
Dois tipos diferentes de vulnerabilidades
A maioria das vulnerabilidades são Stored Cross Site Scripting (XSS). Três deles são inclusão de arquivos locais.
As vulnerabilidades XSS estão entre as formas mais comuns de vulnerabilidade encontradas em plug-ins e temas do WordPress. Eles geralmente surgem de falhas na forma como os dados de entrada são protegidos (sanitização de entrada) e também como os dados de saída são bloqueados (escape de saída).
Uma vulnerabilidade de inclusão de arquivo local é aquela que explora uma área de entrada de usuário insegura que permite que um invasor “inclua” um arquivo na entrada. Incluir é um termo de codificação. Em inglês simples, uma inclusão de arquivo é um script (uma instrução) que diz ao site para adicionar um código específico do arquivo, como um arquivo PHP. Eu usei inclusões em PHP para trazer dados de um arquivo (como o título de uma página da web) e colocá-los na meta descrição, esse é um exemplo de inclusão.
Este tipo de vulnerabilidade pode ser uma ameaça séria porque permite que um invasor “inclua” uma ampla gama de códigos que, por sua vez, pode levar à capacidade de contornar quaisquer restrições às ações que podem ser realizadas no site e/ou permitir o acesso. a dados confidenciais que normalmente são restritos.
O Open Web Application Security Project (OWASP) define uma vulnerabilidade de inclusão de arquivo local:
“A vulnerabilidade de inclusão de arquivos permite que um invasor inclua um arquivo, geralmente explorando mecanismos de “inclusão dinâmica de arquivos” implementados no aplicativo alvo. A vulnerabilidade ocorre devido ao uso de entradas fornecidas pelo usuário sem a validação adequada.
Isso pode levar a algo como a saída do conteúdo do arquivo, mas dependendo da gravidade, também pode levar a:
Execução de código no servidor web
Execução de código no lado do cliente, como JavaScript, que pode levar a outros ataques, como cross site scripting (XSS)
Negação de serviço (DoS)
Divulgação de Informações Sensíveis”
Lista de plug-ins complementares Elementor vulneráveis
Há um total de onze plug-ins complementares Elementor que possuem avisos de vulnerabilidade, dois dos quais foram emitidos hoje (29 de março), dois dos quais foram emitidos em 28 de março. Os sete restantes foram emitidos nos últimos dias.
Alguns dos plug-ins têm mais de uma vulnerabilidade, de modo que há um total de 15 vulnerabilidades em onze dos plug-ins.
Dos onze plug-ins, um é classificado como vulnerabilidade de alta gravidade e os demais são de gravidade média.
Aqui está a lista de plug-ins listados em ordem decrescente, do mais recente ao mais antigo. Os números próximos às vulnerabilidades indicam se elas têm mais de uma vulnerabilidade.
Lista de complementos Elementor vulneráveis
- Complementos ElementsKit Elementor (x2)
- Elementos ilimitados para Elementor
- Mais de 140 widgets | Melhores complementos para Elementor
- Melhores complementos Elementor
- Elementos complementares Elementor (x2)
- Complementos mestres para Elementor
- Os complementos Plus para Elementor (x2)
- Complementos essenciais para Elementor (x2)
- Complementos do Element Pack Elementor
- Prime Slider – Complementos para Elementor
- Mover complementos para Elementor
Vulnerabilidade de alta gravidade
A vulnerabilidade de alta gravidade encontrada no plugin ElementsKit Elementor Addons para WordPress é especialmente preocupante porque pode colocar mais de um milhão de sites em perigo. Esta vulnerabilidade é classificada como 8,8 em uma escala de 1 a 10.
O que explica sua popularidade é a natureza completa do plug-in, que permite aos usuários modificar facilmente praticamente qualquer recurso de design na página nos cabeçalhos, rodapés e menus. Também inclui uma vasta biblioteca de modelos e 85 widgets que adicionam funcionalidades extras às páginas da web criadas com a plataforma de construção de sites Elementor.
Os pesquisadores de segurança do Wordfence descreveram a ameaça de vulnerabilidade:
“O plugin de complementos ElementsKit Elementor para WordPress é vulnerável à inclusão de arquivo local em todas as versões até 3.0.6, inclusive, por meio da função render_raw. Isso possibilita que invasores autenticados, com acesso de nível de contribuidor e superior, incluam e executem arquivos arbitrários no servidor, permitindo a execução de qualquer código PHP nesses arquivos. Isso pode ser usado para contornar controles de acesso, obter dados confidenciais ou executar código em casos onde imagens e outros tipos de arquivos “seguros” podem ser carregados e incluídos.”
Milhões de sites WordPress afetados
As vulnerabilidades podem afetar mais de 3 milhões de sites. Apenas dois dos plugins têm um total de três milhões de instalações ativas. Os sites tendem a usar apenas um desses plug-ins porque há uma certa sobreposição entre os recursos. A natureza multifuncional de alguns desses plug-ins significa que apenas um plug-in é necessário para acessar widgets importantes para adicionar controles deslizantes, menus e outros elementos na página.
Lista de plug-ins vulneráveis por número de instalações
- Complementos essenciais para Elementor – 2 milhões
- Complementos ElementsKit Elementor – 1 milhão
- Elementos ilimitados para Elementor – 200k
- Elementos complementares Elementor – 100k
- Os complementos Plus para Elementor – 100k
- Complementos Elementor Elementor – 100k
- Prime Slider – Complementos para Elementor – 100k
- Complementos mestres para Elementor – 40k
- Mais de 140 widgets | Melhores complementos para Elementor – 10k
- Mover complementos para Elementor – 3k
- Complementos Better Elementor – Desconhecido – Fechado pelo WordPress
Ação recomendada
Embora muitas das vulnerabilidades de gravidade média exijam que os hackers obtenham autenticação em nível de contribuidor para lançar um ataque, é melhor não subestimar o risco representado por outros plug-ins ou temas instalados que podem conceder ao invasor a capacidade de lançar esses ataques específicos.
Geralmente é prudente testar temas atualizados antes de enviar atualizações para um site ativo.
Leia os avisos oficiais do Wordfence (com números CVE):
A. 29/03 Complementos ElementsKit Elementor <= 3.0.6 – Scripting entre sites armazenados autenticados (Contributor +) CVE-2024-1238
B. 29/03 ElementsKit Elementor addons <= 3.0.6 – Inclusão de arquivo local autenticado (Contributor +) em render_raw CVE-2024-2047 8.8 ALTA AMEAÇA
29/03 Elementos ilimitados para Elementor <= 1.5.96 – Scripting entre sites armazenados autenticados (Contributor +) via link de widget CVE-2024-0367
28/03 Mais de 140 widgets | Melhores complementos para Elementor – GRATUITO <= 1.4.2 – Scripting entre sites armazenados autenticados (Contribuidor +) CVE-2024-2250
3/28 Complementos Better Elementor <= 1.4.1 – Scripting entre sites armazenados autenticados (Contribuidor +) por meio de links de widget CVE-2024-2280
A. Elementos complementares Elementor <= 1.13.1 – Scripting entre sites armazenados autenticados (Contributor+) CVE-2024-2091
B. Elementos Addon Elementor <= 1.13.2 – Scripting entre sites armazenados baseados em DOM autenticado (Contribuidor +) por meio do widget 'Separador de texto' e 'Comparação de imagens' CVE-2024-2792
Master Addons para Elementor <= 2.0.5.6 – Scripting entre sites armazenados autenticados (Contributor +) por meio do widget de tabela de preços CVE-2024-2139
A. Os complementos Plus para Elementor <= 5.4.1 – Inclusão de arquivo local autenticado (Contribuidor+) por meio da listagem de membros da equipe CVE-2024-2210
B. Os complementos Plus para Elementor <= 5.4.1 – Inclusão de arquivo local autenticado (Contributor+) por meio do widget de clientes CVE-2024-2203
A. Complementos essenciais para Elementor – Melhores modelos, widgets, kits e construtores WooCommerce Elementor <= 5.9.11 – Scripting entre sites armazenados autenticados (Contributor +) (por meio do parâmetro de mensagem do widget de contagem regressiva) CVE-2024-2623
B. Complementos essenciais para Elementor – Melhores modelos, widgets, kits e construtores WooCommerce Elementor <= 5.9.11 – Scripting entre sites armazenados autenticados (Contributor +) (por meio do parâmetro de alinhamento no widget Woo Product Carousel) CVE-2024-2650
Element Pack Elementor Addons <= 5.5.3 – Authenticated (Contributor+) Stored Cross-Site Scripting via link CVE-2024-30185
Prime Slider – Addons For Elementor <= 3.13.1 – Authenticated (Contributor+) Stored Cross-Site Scripting via título CVE-2024-30186
Mover complementos para Elementor <= 1.2.9 – Scripting entre sites armazenados autenticados (Contributor +) CVE-2024-2131
Imagem em destaque por Shutterstock/Andrey Myagkov
