15 vulnerabilità in 11 componenti aggiuntivi di Elementor hanno raggiunto più di 3 milioni di siti WordPress
I ricercatori hanno emesso avvisi per undici plug-in aggiuntivi Elementor separati con 15 vulnerabilità che possono consentire agli hacker di caricare file dannosi. Uno di questi è classificato come ad alta vulnerabilità perché può consentire agli hacker di aggirare i controlli di accesso, eseguire script e ottenere dati sensibili.
Due diversi tipi di vulnerabilità
La maggior parte delle vulnerabilità sono Stored Cross Site Scripting (XSS). Tre di questi sono Inclusione file locali.
Le vulnerabilità XSS sono tra le forme più comuni di vulnerabilità riscontrate nei plugin e nei temi WordPress. In genere derivano da difetti nel modo in cui i dati di input vengono protetti (sanificazione dell'input) e anche nel modo in cui i dati di output vengono bloccati (escape dell'output).
Una vulnerabilità Local File Inclusion è quella che sfrutta un'area di input dell'utente non protetta che consente a un utente malintenzionato di “includere” un file nell'input. Include è un termine di codifica. In parole povere, l'inclusione di un file è una cosa di scripting (un'istruzione) che dice al sito web di aggiungere un codice specifico dal file, come un file PHP. Ho utilizzato gli include in PHP per importare dati da un file (come il titolo di una pagina Web) e inserirli nella meta descrizione, questo è un esempio di include.
Questo tipo di vulnerabilità può rappresentare una seria minaccia perché consente a un utente malintenzionato di “includere” un'ampia gamma di codici che a loro volta possono portare alla capacità di aggirare eventuali restrizioni sulle azioni che possono essere eseguite sul sito Web e/o consentire l'accesso ai dati sensibili che normalmente sono riservati.
Il progetto Open Web Application Security (OWASP) definisce una vulnerabilità di inclusione di file locali:
“La vulnerabilità File Inclusion consente a un utente malintenzionato di includere un file, solitamente sfruttando un meccanismo di “inclusione dinamica dei file” implementato nell’applicazione di destinazione. La vulnerabilità si verifica a causa dell'utilizzo dell'input fornito dall'utente senza un'adeguata convalida.
Ciò può portare a qualcosa come l'output del contenuto del file, ma a seconda della gravità, può anche portare a:
Esecuzione del codice sul server web
Esecuzione di codice sul lato client come JavaScript che può portare ad altri attacchi come cross site scripting (XSS)
Negazione di servizio (DoS)
Divulgazione di informazioni sensibili”
Elenco dei plug-in aggiuntivi Elementor vulnerabili
Esistono undici plug-in aggiuntivi di Elementor in totale con avvisi di vulnerabilità, due dei quali sono stati emessi oggi (29 marzo), due dei quali sono stati emessi il 28 marzo. I restanti sette sono stati emessi nei giorni scorsi.
Alcuni plugin presentano più di una vulnerabilità, per cui in undici plugin sono presenti un totale di 15 vulnerabilità.
Degli undici plugin uno è classificato come vulnerabilità di gravità elevata mentre gli altri sono di gravità media.
Ecco l'elenco dei plugin elencati in ordine decrescente dal più recente al più vecchio. I numeri accanto alle vulnerabilità indicano se hanno più di una vulnerabilità.
Elenco dei componenti aggiuntivi vulnerabili di Elementor
- Componenti aggiuntivi ElementsKit Elementor (x2)
- Elementi illimitati per Elementor
- Oltre 140 widget | I migliori componenti aggiuntivi per Elementor
- Componenti aggiuntivi di Elementor migliori
- Elementi aggiuntivi Elementor (x2)
- Componenti aggiuntivi principali per Elementor
- I componenti aggiuntivi Plus per Elementor (x2)
- Componenti aggiuntivi essenziali per Elementor (x2)
- Componenti aggiuntivi di Element Pack Elementor
- Prime Slider – Componenti aggiuntivi per Elementor
- Sposta componenti aggiuntivi per Elementor
Vulnerabilità di gravità elevata
La vulnerabilità di gravità elevata riscontrata nel plug-in ElementsKit Elementor Addons per WordPress è particolarmente preoccupante perché può mettere in pericolo oltre un milione di siti Web. Questa vulnerabilità ha un punteggio di 8,8 su una scala da 1 a 10.
Ciò che spiega la sua popolarità è la natura all-in-one del plug-in che consente agli utenti di modificare facilmente praticamente qualsiasi funzionalità di progettazione della pagina nelle intestazioni, nei piè di pagina e nei menu. Include anche una vasta libreria di modelli e 85 widget che aggiungono funzionalità extra alle pagine Web create con la piattaforma di creazione di siti Web Elementor.
I ricercatori della sicurezza di Wordfence descritto la minaccia della vulnerabilità:
“Il plug-in dei componenti aggiuntivi ElementsKit Elementor per WordPress è vulnerabile all’inclusione di file locali in tutte le versioni fino alla 3.0.6 inclusa tramite la funzione render_raw. Ciò consente agli aggressori autenticati, con accesso a livello di collaboratore e superiore, di includere ed eseguire file arbitrari sul server, consentendo l'esecuzione di qualsiasi codice PHP in tali file. Questo può essere utilizzato per aggirare i controlli di accesso, ottenere dati sensibili o ottenere l’esecuzione di codice nei casi in cui è possibile caricare e includere immagini e altri tipi di file “sicuri”.
Milioni di siti WordPress interessati
Le vulnerabilità possono interessare oltre 3 milioni di siti web. Solo due plugin hanno un totale di tre milioni di installazioni attive. I siti web tendono a utilizzare solo uno di questi plugin perché esiste una certa sovrapposizione tra le funzionalità. La natura all-in-one di alcuni di questi plugin significa che è necessario un solo plugin per accedere a widget importanti per aggiungere slider, menu e altri elementi sulla pagina.
Elenco dei plugin vulnerabili per numero di installazioni
- Componenti aggiuntivi essenziali per Elementor: 2 milioni
- Componenti aggiuntivi ElementsKit Elementor – 1 milione
- Elementi illimitati per Elementor – 200k
- Elementi aggiuntivi di Elementor – 100k
- I componenti aggiuntivi Plus per Elementor – 100k
- Componenti aggiuntivi Elementor Element Pack – 100k
- Prime Slider – Componenti aggiuntivi per Elementor – 100k
- Componenti aggiuntivi principali per Elementor – 40k
- Oltre 140 widget | I migliori componenti aggiuntivi per Elementor – 10k
- Sposta componenti aggiuntivi per Elementor – 3k
- Componenti aggiuntivi di Elementor migliori – Sconosciuto – Chiuso da WordPress
Azione raccomandata
Sebbene molte delle vulnerabilità di livello medio richiedano che gli hacker ottengano l'autenticazione a livello di collaboratore per lanciare un attacco, è meglio non sottovalutare il rischio rappresentato da altri plugin o temi installati che potrebbero garantire all'aggressore la possibilità di lanciare questi attacchi specifici.
In genere è prudente testare i temi aggiornati prima di inviare gli aggiornamenti a un sito live.
Leggi gli avvisi ufficiali di Wordfence (con i numeri CVE):
A. 29/03 Componenti aggiuntivi ElementsKit Elementor <= 3.0.6 – Scripting cross-site archiviato autenticato (collaboratore+) CVE-2024-1238
B.29/03 Componenti aggiuntivi ElementsKit Elementor <= 3.0.6 – Inclusione di file locali autenticati (Collaboratore+) in render_raw CVE-2024-2047 8.8 MINACCIA ALTA
29/03 Elementi illimitati per Elementor <= 1.5.96 – Scripting cross-site archiviato autenticato (collaboratore+) tramite collegamento widget CVE-2024-0367
3/28 Oltre 140 widget | I migliori componenti aggiuntivi per Elementor – GRATUITO <= 1.4.2 - Scripting cross-site archiviato autenticato (collaboratore+) CVE-2024-2250
3/28 Componenti aggiuntivi di Elementor migliorati <= 1.4.1 – Scripting cross-site archiviato autenticato (collaboratore+) tramite collegamenti widget CVE-2024-2280
UN. Elementi aggiuntivi di Elementor <= 1.13.1 – Scripting cross-site archiviato autenticato (collaboratore+) CVE-2024-2091
UN. I componenti aggiuntivi Plus per Elementor <= 5.4.1 – Inclusione di file locali autenticati (Collaboratore+) tramite l'elenco dei membri del team CVE-2024-2210
B. I componenti aggiuntivi Plus per Elementor <= 5.4.1 – Inclusione di file locali autenticati (Collaboratore+) tramite widget dei client CVE-2024-2203
UN. Componenti aggiuntivi essenziali per Elementor – I migliori modelli, widget, kit e builder WooCommerce di Elementor <= 5.9.11 – Scripting cross-site archiviato autenticato (collaboratore+) (tramite il parametro messaggio del widget conto alla rovescia) CVE-2024-2623
B. Componenti aggiuntivi essenziali per Elementor – I migliori modelli, widget, kit e builder WooCommerce di Elementor <= 5.9.11 – Scripting cross-site archiviato autenticato (collaboratore+) (tramite il parametro di allineamento nel widget Woo Product Carousel) CVE-2024-2650
Sposta componenti aggiuntivi per Elementor <= 1.2.9 – Scripting cross-site archiviato autenticato (collaboratore+) CVE-2024-2131
Immagine in evidenza di Shutterstock/Andrey Myagkov