Последние патчи, потрясшие экосистему Elementor
За последние несколько недель команда Wordfence Threat Intelligence выявила уязвимости более чем в 15 самых популярных аддонах для Elementor.
Они в совокупности установлены на более чем 3,5 миллионах сайтов. Всего наша команда обнаружила более 100 уязвимостей.
Эти уязвимости межсайтового скриптинга (XSS) были аналогичны по исполнению недавно опубликованным уязвимостям в основном плагине Elementor. Они позволяли любому пользователю, имеющему доступ к редактору Elementor, включая участников (contributors), добавлять JavaScript к сообщениям.
Этот JavaScript выполнялся, если сообщение просматривается, редактируется любым другим пользователем сайта, и может использоваться для захвата сайта, если жертва является администратором.
Эти уязвимости покрываются тем же правилом брандмауэра Wordfence, которое мы создали для исходной уязвимости Elementor, которая была доступна для бесплатных пользователей Wordfence с 25 марта 2021 года.
Какие плагины попали под раздачу?
- Essential Addons for Elementor (essential-addons-for-elementor-lite), 1M+ установок
Уязвимые версии < 4.5.4, исправлено в версии 4.5.4 - Elementor – Header, Footer & Blocks Template (header-footer-elementor), 1M+ установок
Уязвимые версии < 1.5.8, исправлено в версии 1.5.8 - Ultimate Addons for Elementor (ultimate-elementor), 600k+ установок
Уязвимые версии < 1.30.0, исправлено в версии 1.30.0 - Premium Addons for Elementor (premium-addons-for-elementor), 400k+ установок
Уязвимые версии < 4.2.8, исправлено в версии4.2.8 - ElementsKit (elementskit-lite) and ElementsKit Pro (elementskit), 300k+ установок
Уязвимые версии < 2.2.0, исправлено в версии2.2.0 - Elementor Addon Elements (addon-elements-for-elementor-page-builder), 100k+ установок
Уязвимые версии < 1.11.2, исправлено в версии1.11.2 - Livemesh Addons for Elementor (addons-for-elementor), 100k+ установок
Уязвимые версии < 6.8, исправлено в версии6.8 - HT Mega – Absolute Addons for Elementor Page Builder (ht-mega-for-elementor), 70k+ установок
Уязвимые версии < 1.5.7, исправлено в версии1.5.7 - WooLentor – WooCommerce Elementor Addons + Builder (woolentor-addons), 50k+ установок
Уязвимые версии < 1.8.6, исправлено в версии 1.8.6 - PowerPack Addons for Elementor (powerpack-lite-for-elementor), 50k+ установок
Уязвимые версии < 2.3.2, исправлено в версии2.3.2 - Image Hover Effects – Elementor Addon (image-hover-effects-addon-for-elementor), 40k+ установок
Уязвимые версии < 1.3.4, исправлено в версии1.3.4 - Rife Elementor Extensions & Templates (rife-elementor-extensions), 30k+ установок
Уязвимые версии < 1.1.6, исправлено в версии1.1.6 - The Plus Addons for Elementor Page Builder Lite (the-plus-addons-for-elementor-page-builder), 30k+ установок
Уязвимые версии < 2.0.6, исправлено в версии2.0.6 - All-in-One Addons for Elementor – WidgetKit (widgetkit-for-elementor), 20k+ установок
Уязвимые версии < 2.3.10, исправлено в версии2.3.10 - JetWidgets For Elementor (jetwidgets-for-elementor), 10k+ установок
Уязвимые версии < 1.0.9, исправлено в версии1.0.9 - Sina Extension for Elementor (sina-extension-for-elementor), 10k+ установок
Уязвимые версии < 3.3.12, исправлено в версии3.3.12 - DethemeKit For Elementor (dethemekit-for-elementor), 8k+ установок
Уязвимые версии < 1.5.5.5, исправлено в версии1.5.5.5
Если у вас на сайте установлен один их этих плагинов, срочно обновите их до актуальных версий!