Nas últimas semanas a equipe de inteligência do Wordfence revelou vulnerabilidades em mais de 15 dos Plugins adicionais mais populares do Elementor, que são instalados coletivamente em mais de 3,5 milhões de sites. Juntos, a equipe do Wordfence encontrou mais de 100 endpoints vulneráveis.
Essas vulnerabilidades de Cross-Site Scripting armazenadas eram semelhantes em execução às vulnerabilidades publicadas recentemente no plugin Elementor principal.
Eles permitiam que qualquer usuário pudesse acessar o editor Elementor, incluindo colaboradores, para adicionar JavaScript às postagens. Este JavaScript seria executado se a postagem fosse visualizada, editada ou visualizada por qualquer outro usuário do site e poderia ser usado para assumir o controle de um site se a vítima fosse um administrador.
Essas vulnerabilidades são cobertas pela mesma regra de firewall do Wordfence que criamos para a vulnerabilidade Elementor original, que está disponível para usuários gratuitos do Wordfence desde 25 de março de 2021.
Quais plugins foram afetados?
A equipe do Wordfence notificou os desenvolvedores e editores sobre o maior número possível de plugins vulneráveis e os aconselhamos a revisar seus plugins premium para problemas semelhantes.
Na maioria dos casos, os desenvolvedores avisados corrigiram os problemas e lançaram correções.
Confira os plugins que foram corrigidos até o momento:
Complementos essenciais para Elementor ( Essential -addons-for-elementor-lite), 1M + Instalações. Versões <4.5.4 são vulneráveis, corrigidos na versão 4.5.4.
Elementor – Cabeçalho, rodapé e modelo de blocos (header-footer-elementor), 1M + Instalações. As versões <1.5.8 são vulneráveis, corrigidas na versão 1.5.8.
Ultimate Addons para Elementor (ultimate-elementor), 600k + versões de instalações <1.30.0 são vulneráveis, corrigidos na versão 1.30.0
Complementos premium para Elementor (complementos premium para elementor), 400k + Instalações. Versões <4.2.8 são vulneráveis, corrigidas na versão 4.2.8
ElementsKit (elementskit-lite) e ElementsKit Pro (elementskit), 300k + Instalações. As versões <2.2.0 são vulneráveis, corrigidas na versão 2.2.0.
Elementor Addon Elements (addon-elements-for-elementor-page-builder), 100k Instalações. As versões <1.11.2 são vulneráveis, corrigidas na versão 1.11.2
Complementos Livemesh para Elementor (addons-for-elementor), 100k + Instalações. Versões <6.8 são vulneráveis, corrigidos na versão 6.8
HT Mega – Complementos absolutos para o Elementor Page Builder (ht-mega-for-elementor), 70k + Instalações. As versões <1.5.7 são vulneráveis, corrigidas na versão 1.5.7.
WooLentor – WooCommerce Elementor Addons + Builder (Woolentor-addons), 50k + Instalações. As versões <1.8.6 são vulneráveis, corrigidas na versão 1.8.6
Suplementos PowerPack para Elementor (powerpack-lite-for-elementor), 50k + Instalações. Versões <2.3.2 são vulneráveis, corrigidos na versão 2.3.2
Image Hover Effects – Elementor Addon (image-hover-effects-addon-for-elementor), 40k + Instalações. As versões <1.3.4 são vulneráveis, corrigidas na versão 1.3.4
Rife Elementor Extensions & Templates (rife-elementor-extensions), 30k + Instalações. As versões <1.1.6 são vulneráveis, corrigidas na versão 1.1.6
O Plus Addons para Elementor Page Builder Lite (the-plus-addons-for-elementor-page-builder), 30k + Instalações. As versões <2.0.6 são vulneráveis, corrigidas na versão 2.0.6
Complementos All-in-One para Elementor – WidgetKit (widgetkit-for-elementor), 20k + Instalações. As versões <2.3.10 são vulneráveis, corrigidas na versão 2.3.10
JetWidgets For Elementor (jetwidgets-for-elementor), 10k + Instalações. As versões <1.0.9 são vulneráveis, corrigidas na versão 1.0.9
Extensão Sina para Elementor (extensão sina-para-elementor), 10k + Instalações. Versões <3.3.12 são vulneráveis, corrigidas na versão 3.3.12
DethemeKit For Elementor (dethemekit-for-elementor), 8k + Instalações. As versões <1.5.5.5 são vulneráveis, corrigidas na versão 1.5.5.5
Saiba mais sobre as vulnerabilidade no site do Wordfence.
Fonte: https://www.wordfence.com/blog/2021/04/recent-patches-rock-the-elementor-ecosystem/