Em 23 de fevereiro de 2021, a equipe de inteligência do Wordfence divulgou responsavelmente um conjunto de vulnerabilidades de Cross-Site Scripting armazenadas no Elementor, um plugin do WordPress que “agora está instalado e usado ativamente em mais de 7 milhões de sites”, de acordo com um anúncio recente no Elementor blog.
Essas vulnerabilidades permitiam que qualquer usuário pudesse acessar o editor Elementor, incluindo colaboradores, para adicionar JavaScript às postagens.
Este JavaScript seria executado se a postagem fosse visualizada, editada ou visualizada por qualquer outro usuário do site e poderia ser usado para assumir o controle de um site se a vítima fosse um administrador.
Como a Elementor tem um método de contato específico para relatórios de segurança, a equipe de inteligência do Wordfence pode fornecer a divulgação completa imediatamente.
O Elementor reconheceu a vulnerabilidade no dia seguinte, em 24 de fevereiro de 2021. Um patch inicial foi disponibilizado na versão 3.1.2 em 2 de março de 2021. No entanto, é recomendável atualizar pelo menos o Elementor versão 3.1.4, o mais recente disponível no momento em que este artigo foi escrito, pois contém correções adicionais para o problema.
Os usuários do Wordfence Premium receberam uma regra de firewall protegendo contra essas vulnerabilidades em 23 de fevereiro de 2021. Sites que ainda executam a versão gratuita do Wordfence receberão a mesma proteção após 30 dias, em 25 de março de 2021.
Elementor é um plugin de editor muito popular que permite aos criadores de conteúdo, incluindo colaboradores, a capacidade de projetar sites visualmente usando “elementos” que podem ser adicionados a qualquer local na página que está sendo construída.
Muitos desses elementos oferecem a opção de definir uma tag HTML para o conteúdo dentro. Por exemplo, o elemento “Título” pode ser configurado para usar tags H1, H2, H3, etc., a fim de aplicar diferentes tamanhos de título por meio do header_size parâmetro.
Infelizmente, para seis desses elementos, as tags HTML não foram validadas no lado do servidor, portanto, era possível para qualquer usuário capaz de acessar o editor Elementor, incluindo colaboradores, usar esta opção para adicionar JavaScript executável a um post ou página via um pedido elaborado.
Como as postagens criadas por colaboradores são normalmente revisadas por editores ou administradores antes da publicação, qualquer JavaScript adicionado a uma dessas postagens seria executado no navegador do revisor.
Se um administrador revisou uma postagem contendo JavaScript malicioso, sua sessão autenticada com privilégios de alto nível poderia ser usada para criar um novo administrador malicioso ou para adicionar um backdoor ao site. Um ataque a esta vulnerabilidade pode levar ao controle do site.
Dependendo do elemento, o JavaScript executável pode ser adicionado de várias maneiras.
Por exemplo, o elemento “Coluna”, um dos componentes Elementor mais básicos, aceita um html_tag parâmetro. Este parâmetro foi gerado sem escape e pode ser definido como um script embutido, um script com uma fonte remota ou pode até mesmo ser atacado usando XSS baseado em atributos.
Os elementos Accordion, Icon Box e Image Box também eram vulneráveis a esse tipo de ataque, embora os nomes dos parâmetros vulneráveis variam dependendo do componente.
