Elementor obsahuje XSS zranitelnost ohrožující miliony webů

Tým WordFence objevil před několika dny vážnou zranitelnost v populárním pluginu Elementor, který je v současné době instalován na sedmi milionech webů.

Tak jak je zvykem, informoval před publikací o zranitelnosti tým vývojářů Elementoru a ten druhého března vydal verzi 3.1.2, jenž zranitelnost opravuje.

Pokud máte na svém webu starší verzi, neváhejte s aktualizací, vývojář doporučují aktualizaci na 3.1.4, která obsahuje další opravy této zranitelnosti.

Elementor je jeden z page builderů a obsahuje řadu prvků, které můžete ve „vizuálním“ módu upravovat.

Poměrně hodně z těchto prvků, obsahují nastavení „HTML tag“. Na screenu můžete vidět toto nastavení u elementu heading.

Bohužel, Elementor při uložení na straně serveru, neprovádí kontrolu a uživatelé, včetně redaktora, jsou schopni uložit spustitelný javascript u postu, nebo stránky.

I když redaktor nemá právo publikovat, stačí, aby si šéfredaktor zobrazil koncept a javascript se spustí.

Bohužel, tato zranitelnost se netýká jen elementu heading, ale i dalších, jako je nejpoužívanější prvek – column. Ten akceptuje parametr html_tag a umožňuje vložit inline script, který může například načíst škodlivý externí js soubor.

Dalšími elementy jsou accordion, icon box a image box.

Pokud máte tedy na webu verzi nižší, jak 3.1.2, neváhejte s aktualizací.

About The Author

Zajímá mne Wordpress, responsivní šablony a zkrátka vše kolem tohoto skvělého redakčního systému.

Související články

1 Comment

  1. Pingback: Elementor obsahuje XSS zranitelnost ohrožující miliony webů – WP kompas

Přidejte komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *