Pesquisadores de segurança emitiram um comunicado sobre seis vulnerabilidades XSS exclusivas descobertas no Elementor Website Builder e sua versão Pro que podem permitir que invasores injetem scripts maliciosos.
Construtor de sites Elementor
Elementor é uma plataforma líder de construção de sites com mais de 5 milhões de instalações ativas em todo o mundo, com o depósito oficial do WordPress afirmando que alimenta mais de 16 milhões de sites em todo o mundo. A interface de arrastar e soltar permite que qualquer pessoa crie sites profissionais rapidamente, enquanto a versão Pro amplia a plataforma com widgets adicionais e recursos avançados de comércio eletrônico.
Essa popularidade também tornou o Elementor um alvo popular para hackers, o que torna essas seis vulnerabilidades particularmente preocupantes.
Seis vulnerabilidades XSS
O Elementor Website Builder e a versão Pro contêm seis vulnerabilidades diferentes de Cross-Site Scripting (XSS). Cinco das vulnerabilidades são devidas à limpeza insuficiente de entradas e ao escape de saída, enquanto uma delas se deve à limpeza insuficiente de entradas.
A limpeza de entrada é uma prática de codificação padrão usada para proteger áreas de um plug-in que permite aos usuários inserir dados em um campo de formulário ou fazer upload de mídia. O processo de higienização bloqueia qualquer entrada que não esteja de acordo com o esperado. Uma entrada devidamente protegida para dados de texto deve bloquear scripts ou HTML, que é o que faz a limpeza de entrada.
O escape de saída é o processo de proteger o que o plug-in envia ao navegador para evitar que ele exponha o navegador do visitante do site a scripts não confiáveis.
O Manual oficial do desenvolvedor WordPress aconselha a higienização de entrada:
“Higienizar a entrada é o processo de proteger/limpar/filtrar os dados de entrada.”
É importante observar que todas as seis vulnerabilidades são distintas e completamente não relacionadas entre si e surgem especificamente de segurança insuficiente por parte do Elementor. É possível que um deles, CVE-2024-2120, afete as versões gratuita e profissional. Entrei em contato com o Wordfence para obter esclarecimentos sobre isso e atualizarei este artigo de acordo após receber uma resposta.
Lista de vulnerabilidades de seis elementos
A seguir está uma lista das seis vulnerabilidades e as versões que elas afetam. Todas as seis vulnerabilidades são classificadas como ameaças à segurança de nível médio. Os dois primeiros da lista afetam o Elementor Website Builder e os próximos quatro afetam a versão Pro. O número CVE é uma referência à entrada oficial no banco de dados Common Vulnerabilities and Exposures que serve como referência para vulnerabilidades conhecidas.
- Construtor de sites Elementor (CVE-2024-2117)
Afeta até 3.20.2 inclusive – scripts entre sites armazenados baseados em DOM autenticados por meio de widget de caminho - Elementor Website Builder Pro (e talvez gratuito) (CVE-2024-2120)
Afeta até 3.20.1 inclusive – Scripting entre sites armazenados autenticados via pós-navegação - Construtor de sites Elementor Pro (CVE-2024-1521)
Afeta até 3.20.1 inclusive – scripts entre sites armazenados autenticados por meio de upload de arquivo SVGZ do widget de formulário
Esta vulnerabilidade afeta apenas servidores que executam servidores baseados em NGINX. Os servidores que executam o Apache HTTP Server não são afetados. - Construtor de sites Elementor Pro (CVE-2024-2121)
Afeta até 3.20.1 inclusive – Scripting entre sites armazenados autenticados por meio do widget Carrossel de mídia - Construtor de sites Elementor Pro (CVE-2024-1364)
Afeta até 3.20.1 inclusive – Scripting entre sites armazenados autenticados por meio do custom_id do widget - Construtor de sites Elementor Pro (CVE-2024-2781)
Afeta até 3.20.1 inclusive – scripts entre sites armazenados baseados em DOM autenticados por meio de video_html_tag
Todas as seis vulnerabilidades são classificadas como ameaças de segurança de nível médio e exigem nível de permissão do colaborador para serem executadas.
Log de alterações do construtor de sites Elementor
De acordo com o Wordfence, existem duas vulnerabilidades que afetam a versão gratuita do Elementor. Mas o changelog mostra que há apenas uma solução.
Os problemas que afetam a versão gratuita estão no Path Widget e no Post Navigation Widget.
Mas o changelog da versão gratuita lista apenas um patch para o Text Path Widget e não para o Post Navigation:
“Correção de segurança: aplicação aprimorada de segurança de código no widget de caminho de texto”
O widget de navegação de postagem é um recurso de navegação que permite aos visitantes do site navegar para a postagem anterior ou seguinte em uma série de postagens.
Portanto, embora esteja faltando no changelog, ele está incluído no changelog do Elementor Pro, que mostra que está corrigido nessa versão:
- “Correção de segurança: aplicação aprimorada de segurança de código no widget Media Carousel
- Correção de segurança: aplicação aprimorada de segurança de código no widget Formulário
- Correção de segurança: aplicação aprimorada de segurança de código no widget Pós-navegação
- Correção de segurança: aplicação aprimorada de segurança de código no widget Galeria
- Correção de segurança: aplicação de segurança de código aprimorada no widget Lista de reprodução de vídeo”
A entrada ausente no changelog gratuito pode ser um erro de impressão do Wordfence porque o comunicado oficial do Wordfence para CVE-2024-2120 mostra uma entrada para “slug de software” como elementor-pro.
Curso de ação recomendado
Os usuários de ambas as versões do Elementor Website Builder são incentivados a atualizar seu plugin para a versão mais recente. Embora a execução da vulnerabilidade exija que um invasor adquira credenciais de permissão no nível de contribuidor, ela ainda está no reino das possibilidades, especialmente se os contribuidores não tiverem senhas fortes.
Leia os avisos oficiais do Wordfence:
Elementor Website Builder – Mais do que apenas um construtor de páginas <= 3.20.2 – Scripting entre sites armazenados com base em DOM autenticado (Contributor +) via widget de caminho CVE-2024-2117
Elementor Website Builder – Mais do que apenas um construtor de páginas <= 3.20.1 – Scripting entre sites armazenados autenticados (Contributor+) via pós-navegação CVE-2024-2120
Elementor Website Builder Pro <= 3.20.1 – Scripting entre sites armazenados autenticados (Contributor +) por meio de upload de arquivo SVGZ de widget de formulário CVE-2024-1521
Elementor Website Builder Pro <= 3.20.1 – Scripting entre sites armazenados autenticados (Contributor +) CVE-2024-2121
Elementor Website Builder Pro <= 3.20.1 – Scripts entre sites armazenados autenticados (Contributor +) por meio do custom_id do widget CVE-2024-1364
Elementor Website Builder Pro <= 3.20.1 – Scripting entre sites armazenados baseados em DOM autenticado (Contributor +) via video_html_tag CVE-2024-2781
Imagem em destaque por Shutterstock/hugolacasse
