Lorem ipsum

Lorem ipsum

Ecossistema do Elementor em perigo

Em fevereiro deste ano, o construtor de páginas Elementor, utilizado em mais de 5 milhões de páginas, teve uma vulnerabilidade corrigida. Agora, os pesquisadores de segurança da Wordfence descobriram que praticamente todos os add-ons para Elementor testados tinham alguma vulnerabilidade também. Muitos desenvolvedores já atualizaram seus plugins para corrigir as falhas, mas nem todos responderam às tentativas de contato da empresa, e isto inclui criadores de plugins premium. Esta vulnerabilidade recém-descoberta afeta add-ons para Elementor criados por terceiros. De acordo com a Wordfence: “Encontramos as mesmas vulnerabilidades em quase todos os plugins que revisamos e que adicionam elementos ao construtor de páginas Elementor.” Portanto, parece que essa vulnerabilidade é bastante difundida nos plugins de terceiros que são complementos do Elementor.

Vulnerabilidade de XSS (Cross-Site Scripting) armazenado

XSS Armazenado
XSS Armazenado
A vulnerabilidade encontrada é do tipo XSS armazenado e é particularmente perigosa porque o script malicioso é carregado e armazenado no próprio site. Então, quando um usuário visita uma página infectada, seu navegador executa este script. Se a pessoa que visita o site estiver conectada e tiver acesso de administrador, o script poderá ser usado para fornecer esse nível de acesso ao hacker e levar à invasão completa do site. Esta vulnerabilidade específica permite que um invasor com uma conta de contribuidor ou superior faça upload de um script no lugar onde um elemento (como um elemento de cabeçalho) deveria estar. O ataque é semelhante àquele que o Elementor corrigiu em fevereiro de 2021. Esta vulnerabilidade do Elementor foi descrita assim: “… O elemento “Título” pode ser configurado para usar tags H1, H2, H3, etc. para aplicar diferentes tamanhos de título. Infelizmente as tags HTML de seis destes elementos não foram validadas no lado do servidor, portanto, era possível para qualquer usuário capaz de acessar o editor Elementor, incluindo colaboradores, usar esta opção para adicionar JavaScript executável a um post ou página. ”
Hacker
Hacker

Lista dos principais add-ons do Elementor corrigidos

Abaixo temos a lista dos dezoito add-ons para Elementor que foram afetados e estão instalados em mais de 3,5 milhões de sites. Nestes plugins, há mais de cem pontos de acesso, o que significa que cada um dos plugins possuía mais de uma vulnerabilidade através da qual um invasor poderia fazer upload de um arquivo JavaScript malicioso. A lista a seguir é apenas parcial. Se você utiliza algum add-on para o Elementor e ele não estiver listado, é muito importante verificar com o desenvolvedor para ter certeza de que ele foi verificado e não apresenta esta vulnerabilidade.

Lista dos 18 principais add-ons para Elementor corrigidos

  1. Essential Addons for Elementor – corrigido na versão 4.5.4
  2. Elementor – Header, Footer & Blocks Template – corrigido na versão 1.5.8
  3. Ultimate Addons for Elementor – corrigido na versão 1.30.0
  4. Premium Addons for Elementor – corrigido na versão 4.2.8
  5. ElementsKit – corrigido na versão 2.2.0
  6. Elementor Addon Elements – corrigido na versão 1.11.2
  7. Livemesh Addons for Elementor – corrigido na versão 6.8
  8. HT Mega – Absolute Addons for Elementor Page Builder – corrigido na versão 1.5.7
  9. WooLentor – WooCommerce Elementor Addons + Builder – corrigido na versão 1.8.6
  10. PowerPack Addons for Elementor – corrigido na versão 2.3.2
  11. Image Hover Effects – Elementor Addon – corrigido na versão 1.3.4
  12. Rife Elementor Extensions & Templates – corrigido na versão 1.1.6
  13. The Plus Addons for Elementor Page Builder Lite – corrigido na versão 2.0.6
  14. All-in-One Addons for Elementor – WidgetKit – corrigido na versão 2.3.10
  15. JetWidgets For Elementor – corrigido na versão 1.0.9
  16. Sina Extension for Elementor – corrigido na versão 3.3.12
  17. DethemeKit For Elementor – corrigido na versão 1.5.5.5
  18. Clever Addons for Elementor –  – corrigido na versão 2.1.0

O que fazer se você usa algum add-on para Elementor?

Se você utiliza algum add-on para o Elementor deve se certificar de que esses plugins foram atualizados para corrigir essa vulnerabilidade. Embora essa vulnerabilidade exija pelo menos um acesso de nível de contribuidor, um hacker que tem como alvo específico um site pode aproveitar vários ataques ou estratégias para obter essas credenciais, incluindo engenharia social. De acordo com a Wordfence: “Pode ser mais fácil para um invasor obter acesso a uma conta de contribuidor do que de uma conta administrativa, e uma vulnerabilidade desse tipo pode ser usada para escalar privilégios executando código JavaScript em uma sessão de navegador do administrador.” Se o seu add-on para Elementor não foi atualizado recentemente para corrigir uma vulnerabilidade, você deve entrar em contato com o desenvolvedor desse plugin para verificar se ele é seguro.

E você?

Seu site foi afetado por algum destes plugins? Deixe seu comentário abaixo contando pra gente!

Citações

Recent Patches Rock the Elementor Ecosystem

Compartilhe com os amigos

Share on facebook
Share on google
Share on twitter
Share on linkedin

Deixe um comentário

Artigos Relacionados

0
Seu carrinho está vazio!

Parece que você ainda não adicionou nenhum item ao carrinho.

Procurar produtos
Tabela de medidas de camisas

O que você procura?

Produtos

Mais procurados