Posts Recentes:

TikTok Shop expande sua oferta de moda de luxo de segunda mão para o Reino Unido

A TikTok Shop, o mercado de comércio social...

Como a United Airlines usa IA para tornar um pouco mais fácil voar em céus amigáveis

Quando você embarca Em um avião da United...

Mais de 2 milhões de sites WordPress atingidos Por vulnerabilidade no Elementor


Pesquisadores de segurança publicaram um comunicado sobre o popular plugin Essential Addons For Elementor WordPress que descobriu conter uma vulnerabilidade de Stored Cross-Site Scripting que afeta mais de 2 milhões de sites.

Falhas em dois widgets diferentes que fazem parte do plugin são responsáveis ​​pelas vulnerabilidades.

Dois widgets que levam a vulnerabilidades

  1. Widget de contagem regressiva
  2. Widget de carrossel de produtos Woo

Complementos essenciais para Elementor

Essential Addons é um plugin que estende o popular construtor de páginas Elementor WordPress. Elementor torna mais fácil para qualquer pessoa criar sites e os complementos essenciais tornam possível adicionar ainda mais recursos e widgets de sites.

A Vulnerabilidade

O comunicado do Wordfence anunciou que o plug-in continha uma vulnerabilidade Stored Cross-Site Scripting (XSS) que permite que um invasor carregue um script malicioso e ataque os navegadores dos visitantes do site, o que pode levar ao roubo de cookies de sessão para assumir o controle do site .

As vulnerabilidades XSS estão entre as mais comuns e surgem de uma falha na higienização adequada (tela ou filtro) de campos que aceitam entradas como texto ou imagens.

Os plug-ins normalmente “limpam” as entradas, o que significa que eles filtram entradas indesejadas, como scripts.

Outra falha que cria uma vulnerabilidade XSS é a falha em “escapar da saída”, o que significa remover qualquer saída que contenha dados indesejados para evitar que cheguem ao navegador.

Wordfence cita essas duas falhas como fatores que levaram às vulnerabilidades.

Eles alertaram sobre o widget de contagem regressiva:

“O plugin Essential Addons for Elementor – Best Elementor Templates, Widgets, Kits & WooCommerce Builders para WordPress é vulnerável a scripts entre sites armazenados por meio do parâmetro de mensagem do widget de contagem regressiva em todas as versões até 5.9.11 inclusive devido à entrada insuficiente sanitização e escape de saída.

Isso possibilita que invasores autenticados, com acesso de contribuidor ou superior, injetem scripts web arbitrários em páginas que serão executadas sempre que um usuário acessar uma página injetada.”

O aviso sobre o widget carrossel de produtos Woo:

“O plugin Essential Addons for Elementor para WordPress é vulnerável a scripts entre sites armazenados por meio do parâmetro de alinhamento no widget Woo Product Carousel em todas as versões até 5.9.10 inclusive devido à limpeza de entrada e escape de saída insuficientes. “

Veja também:

Atacantes autenticados

O que significa a frase “atacantes autenticados” é que um hacker precisa primeiro adquirir credenciais do site para lançar o ataque. A vulnerabilidade Essential Addons for Elementor requer que um invasor tenha acesso de nível de contribuidor ou superior.

Ameaça de nível médio – atualização recomendada

A vulnerabilidade é classificada como uma ameaça média e recebeu uma pontuação de 6,4 em uma escala de 1 a 10, sendo 10 o nível de vulnerabilidade mais crítico.

Recomenda-se que os usuários do plugin que possuem a versão 5.9.11 ou inferior atualizem para a versão mais recente do plugin, atualmente versão 5.9.13.

Leia os boletins de segurança do Wordfence:

Complementos essenciais para Elementor – Melhores modelos, widgets, kits e construtores WooCommerce Elementor <= 5.9.11 – Scripting entre sites armazenados autenticados (Contributor +)

Complementos essenciais para Elementor – Melhores modelos, widgets, kits e construtores WooCommerce Elementor <= 5.9.11 – Scripting entre sites armazenados autenticados (Contributor +)

Imagem em destaque por Shutterstock/Aleksandrs Sokolovs

Últimas

TikTok Shop expande sua oferta de moda de luxo de segunda mão para o Reino Unido

A TikTok Shop, o mercado de comércio social...

Como a United Airlines usa IA para tornar um pouco mais fácil voar em céus amigáveis

Quando você embarca Em um avião da United...

Mulheres na IA: Anna Korhonen estuda a interseção entre linguística e IA

Para dar às mulheres acadêmicas e outras pessoas...

Assine

spot_img

Veja Também

TikTok Shop expande sua oferta de moda de luxo de segunda mão para o Reino Unido

A TikTok Shop, o mercado de comércio social...

Como a United Airlines usa IA para tornar um pouco mais fácil voar em céus amigáveis

Quando você embarca Em um avião da United...

Mulheres na IA: Anna Korhonen estuda a interseção entre linguística e IA

Para dar às mulheres acadêmicas e outras pessoas...

Esta câmera troca fotos por poesia de IA

Você já parou na frente de uma sequóia...
spot_img

Novos fundos de US$ 7,2 bilhões da Andreessen Horowitz para uma ‘nova era’

Que vale US$ 11 bilhões e quer ir a Marte coletar pedras? A missão da NASA a Marte para coletar rochas que...

TikTok Shop expande sua oferta de moda de luxo de segunda mão para o Reino Unido

A TikTok Shop, o mercado de comércio social da TikTok, está lançando uma categoria de luxo de segunda mão no Reino Unido, colocando-a...

Como a United Airlines usa IA para tornar um pouco mais fácil voar em céus amigáveis

Quando você embarca Em um avião da United Airlines, os agentes de portão, os comissários de bordo e outras pessoas envolvidas em garantir...