Wordpress

Il plugin WordPress Elementor colpito da 6 vulnerabilità

Da La Redazione
su 29/03/2024
elementor-vulnerabilities-902.jpg

I ricercatori di sicurezza hanno pubblicato un avviso su sei vulnerabilità XSS uniche scoperte in Elementor Website Builder e nella sua versione Pro che potrebbero consentire agli aggressori di iniettare script dannosi.

Costruttore di siti Web Elementor

Elementor è una piattaforma leader nella creazione di siti Web con oltre 5 milioni di installazioni attive in tutto il mondo, con il depositario ufficiale di WordPress che afferma di alimentare oltre 16 milioni di siti Web in tutto il mondo. L'interfaccia drag and drop consente a chiunque di creare rapidamente siti Web professionali mentre la versione Pro estende la piattaforma con widget aggiuntivi e funzionalità di e-commerce avanzate.

Questa popolarità ha anche reso Elementor un obiettivo popolare per gli hacker, il che rende queste sei vulnerabilità particolarmente preoccupanti.

Sei vulnerabilità XSS

Elementor Website Builder e la versione Pro contengono sei diverse vulnerabilità Cross-Site Scripting (XSS). Cinque delle vulnerabilità sono dovute a un’insufficiente sanificazione degli input e alla fuga di output, mentre una di queste è dovuta a un’insufficiente sanificazione degli input.

La sanificazione dell'input è una pratica di codifica standard utilizzata per proteggere le aree di un plug-in che consentono agli utenti di inserire dati in un campo modulo o caricare contenuti multimediali. Il processo di sanificazione blocca qualsiasi ingresso non conforme a quanto previsto. Un input adeguatamente protetto per dati di testo dovrebbe bloccare script o HTML, che è ciò che fa la sanificazione dell'input.

L'escape dell'output è il processo di protezione di ciò che il plug-in restituisce al browser per evitare che esponga il browser di un visitatore del sito a script non attendibili.

Il manuale ufficiale per gli sviluppatori di WordPress consiglia per la sanificazione degli ingressi:

“La sanificazione dell'input è il processo di protezione/pulizia/filtraggio dei dati di input.”

È importante notare che tutte e sei le vulnerabilità sono distinte e completamente indipendenti tra loro e derivano specificamente da una sicurezza insufficiente da parte di Elementor. È possibile che uno di essi, CVE-2024-2120, interessi sia la versione gratuita che quella pro. Ho contattato Wordfence per chiarimenti in merito e aggiornerò questo articolo di conseguenza dopo aver ricevuto risposta.

Elenco delle sei vulnerabilità di Elementor

Di seguito è riportato un elenco delle sei vulnerabilità e delle versioni che interessano. Tutte e sei le vulnerabilità sono classificate come minacce alla sicurezza di livello medio. I primi due dell'elenco riguardano Elementor Website Builder e i successivi quattro riguardano la versione Pro. Il numero CVE è un riferimento alla voce ufficiale nel database Common Vulnerabilities and Exposures che funge da riferimento per le vulnerabilità note.

  1. Costruttore di siti Web Elementor (CVE-2024-2117)
    Interessa fino alla versione 3.20.2 inclusa: Scripting cross-site archiviato basato su DOM autenticato tramite widget del percorso
  2. Elementor Website Builder Pro (e forse gratuito) (CVE-2024-2120)
    Interessa fino alla versione 3.20.1 inclusa – Scripting cross-site archiviato autenticato tramite Post Navigation
  3. Elementor Website Builder Pro (CVE-2024-1521)
    Interessa fino alla versione 3.20.1 inclusa – Scripting cross-site archiviato autenticato tramite caricamento di file SVGZ tramite widget modulo
    Questa vulnerabilità colpisce solo i server che eseguono server basati su NGINX. I server che eseguono Apache HTTP Server non sono interessati.
  4. Elementor Website Builder Pro (CVE-2024-2121)
    Interessa fino alla versione 3.20.1 inclusa – Scripting cross-site archiviato autenticato tramite widget Media Carousel
  5. Elementor Website Builder Pro (CVE-2024-1364)
    Interessa fino alla versione 3.20.1 inclusa – Scripting cross-site archiviato autenticato tramite custom_id del widget
  6. Elementor Website Builder Pro (CVE-2024-2781)
    Interessa fino alla versione 3.20.1 inclusa: scripting cross-site archiviato basato su DOM autenticato tramite video_html_tag

Tutte e sei le vulnerabilità sono classificate come minacce alla sicurezza di livello medio e richiedono un livello di autorizzazione a livello di collaboratore per essere eseguite.

Registro delle modifiche del generatore di siti Web Elementor

Secondo Wordfence ci sono due vulnerabilità che colpiscono la versione gratuita di Elementor. Ma il registro delle modifiche mostra che esiste una sola soluzione.

I problemi che riguardano la versione gratuita si trovano nel widget del percorso e nel widget di navigazione post.

Ma il log delle modifiche per la versione gratuita elenca solo una patch per il widget del percorso del testo e non per quello di navigazione del post:

“Correzione della sicurezza: migliorata l'applicazione della sicurezza del codice nel widget del percorso di testo”

Il widget di navigazione post è una funzionalità di navigazione che consente ai visitatori del sito di passare al post precedente o successivo in una serie di post.

Quindi, anche se manca nel registro delle modifiche, è incluso nel file Registro delle modifiche di Elementor Pro il che dimostra che il problema è stato risolto in quella versione:

  • “Correzione della sicurezza: migliorata l'applicazione della sicurezza del codice nel widget Media Carousel
  • Correzione per la sicurezza: migliorata l'applicazione della sicurezza del codice nel widget Modulo
  • Correzione della sicurezza: migliorata l'applicazione della sicurezza del codice nel widget Post Navigation
  • Correzione della sicurezza: migliorata l'applicazione della sicurezza del codice nel widget Galleria
  • Correzione di sicurezza: migliorata l'applicazione della sicurezza del codice nel widget Playlist video”

La voce mancante nel registro delle modifiche gratuito potrebbe essere un errore di stampa di Wordfence perché l'avviso ufficiale di Wordfence per CVE-2024-2120 mostra una voce per “software slug” come elementor-pro.

Linea d'azione consigliata

Gli utenti di entrambe le versioni di Elementor Website Builder sono incoraggiati ad aggiornare il proprio plug-in alla versione più recente. Sebbene l'esecuzione della vulnerabilità richieda che un utente malintenzionato acquisisca credenziali di autorizzazione a livello di collaboratore, è ancora nell'ambito delle possibilità, soprattutto se i contributori non dispongono di password complesse.

Leggi gli avvisi ufficiali di Wordfence:

Elementor Website Builder – Molto più di un semplice generatore di pagine <= 3.20.2 – Scripting cross-site archiviato basato su DOM autenticato (Collaboratore+) tramite widget del percorso CVE-2024-2117

Elementor Website Builder – Molto più di un semplice generatore di pagine <= 3.20.1 – Scripting cross-site archiviato autenticato (Collaboratore+) tramite Post Navigation CVE-2024-2120

Elementor Website Builder Pro <= 3.20.1 – Scripting cross-site archiviato autenticato (collaboratore+) tramite widget modulo Caricamento file SVGZ CVE-2024-1521

Elementor Website Builder Pro <= 3.20.1 – Scripting cross-site archiviato autenticato (collaboratore+) CVE-2024-2121

Elementor Website Builder Pro <= 3.20.1 – Scripting cross-site archiviato autenticato (Collaboratore+) tramite custom_id CVE-2024-1364 del widget

Elementor Website Builder Pro <= 3.20.1 – Scripting cross-site archiviato basato su DOM autenticato (collaboratore+) tramite video_html_tag CVE-2024-2781

Immagine in primo piano di Shutterstock/hugolacasse

Articoli Correlati

Wordpress

WordPress in conflitto con il provider hosting: aggiornamenti impossibili – Techzine Europe

Wordpress

Ottieni un tasso di conversione più elevato con l’intelligenza artificiale per WooCommerce – NewsWatch

Wordpress

Nuovo plugin WordPress semplifica il raggiungimento del successo – Search Engine Journal

Wordpress

I cinque migliori plugin di backup di WordPress per evitare disastri – SitePoint

Wordpress

Un altro dei principali plugin di WordPress presenta una grave falla di sicurezza e milioni di siti potrebbero essere interessati – MSN

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

I nostri partner

Su Bannersites.com metti la tua pubblicità a costi bassissimi.

Tramite Seolink.online potrai accedere e gestire i tuoi annunci per pubblicare contenuti sul tuo sito web.

La lista completa per i guest post.

Per il tuo network, sfrutta i nostri partner di fiducia, pubblica e gestisci i tuoi backlink seo.

Copyright © 2022. Tutti i diritti Riservati. Sito web creato con ❤️ da Creo Group™ Wellness e Sponsor Elite
Supporto
1
🛎️ Chatta con noi!
Scan the code
Ciao 👋
Hai bisogno di aiuto?