وردفنس (Wordfence) یک هشدار در مورد یک آسیبپذیری ارائه کرده که در افزونه محبوب Happy Addons for Elementor شناسایی شده و در نسخه جدید آن برطرف شده است. این افزونه که در بیش از ۴۰۰,۰۰۰ وبسایت نصب شده است، دچار نقص امنیتی شده که میتواند به مهاجمان اجازه دهد اسکریپتهای مخربی را آپلود کنند. این اسکریپتها هنگام بازدید مرورگرها از صفحات آسیبدیده اجرا میشوند.
Happy Addons for Elementor
افزونه Happy Addons برای Elementor امکانات جدیدی را به سازنده صفحات المنتور اضافه میکند، از جمله ویجتهای رایگان متنوع، شبکههای تصویری، قابلیت بازخورد و نظرات کاربران، و منوهای ناوبری سفارشی. نسخه پولی این افزونه نیز امکانات بیشتری را برای طراحی سایتهای وردپرسی فراهم میکند.
آسیبپذیری ذخیرهشده Cross-Site Scripting (Stored XSS)
آسیبپذیری Stored XSS زمانی رخ میدهد که یک قالب یا افزونه، ورودی کاربران را به درستی فیلتر نکند (که به آن “بهداشت داده” یا sanitization گفته میشود). این مسئله به مهاجمان اجازه میدهد اسکریپتهای مخرب را به پایگاه داده آپلود کنند و در خود سرور ذخیره شوند. وقتی کاربر از سایت بازدید میکند، این اسکریپتها به مرورگر دانلود شده و اقداماتی مانند سرقت کوکیهای مرورگر یا هدایت کاربر به سایتهای مخرب را انجام میدهند.
جزئیات آسیبپذیری
آسیبپذیری Stored XSS که افزونه Happy Addons را تحت تأثیر قرار داده است، نیازمند دسترسی به مجوزهای سطح Contributor (مشارکتکننده) است. این امر بهرهبرداری از این نقص را دشوارتر میکند.
شرکت امنیتی وردپرس Wordfence این آسیبپذیری را با امتیاز ۶٫۴ از ۱۰ ارزیابی کرده که به عنوان تهدیدی در سطح متوسط طبقهبندی میشود.
طبق گفته وردفنس:
“افزونه Happy Addons for Elementor برای وردپرس در برابر Stored Cross-Site Scripting از طریق پارامتر before_label در ویجت Image Comparison در تمامی نسخهها تا و شامل نسخه ۳٫۱۲٫۵ آسیبپذیر است، به دلیل عدم بهداشت کافی ورودیها و فرار خروجیها. این مشکل باعث میشود که مهاجمان احراز هویتشده با دسترسی سطح Contributor و بالاتر قادر به تزریق اسکریپتهای دلخواه به صفحات شوند که هر بار که کاربر به صفحه آلوده مراجعه کند، اجرا میشود.”
کاربران افزونه باید بهروزرسانی به نسخه جدیدتر، که در حال حاضر نسخه ۳٫۱۲٫۶ است، را در نظر بگیرند که شامل وصله امنیتی برای این آسیبپذیری است.
پیشنهاد ما برای خرید سرویس هاست و دامنه پر سرعت و امن سایت هاستینگ طلاهاست است
Shortlink for this post: https://blog.talahost.com/?p=974