Se descubrió que dos pluggins addons de Brainstorm Force para Elementor tenían vulnerabilidades que afectaban a más de un millón de sitios web.
Tabla de contenido
- Tres vulnerabilidades solucionadas por Brainstorm Force en marzo de 2021
- Vulnerabilidades del complemento Brainstorm Force Elementor
- Vulnerabilidad almacenada de secuencias de comandos entre sitios
- Wordfence no ha publicado detalles
- Versiones fijas de complementos de Elementor
- Actualiza inmediatamente
Los editores del complemento Ultimate Addons for Elementor notificaron a los clientes sobre una vulnerabilidad que afectaba a dos de sus complementos. Esta es la tercera vez este año que Brainstorm Force lanza una actualización para corregir vulnerabilidades en los Addons de Elementor que publican.
Tres vulnerabilidades solucionadas por Brainstorm Force en marzo de 2021
Esta es una lista de tres exploits separados relacionados con sus complementos de Elementor que Brainstorm Force solucionó en marzo de 2021:
Versión 1.30.0 – Fijo – 30 de marzo de 2021
Opciones reforzadas permitidas en el editor para aplicar mejores políticas de seguridad.
Versión 4.1.7 – Actualización importante 09 de marzo de 2021
Vulnerabilidad corregida – Parche final
Versión 4.1.6 – Actualización importante 08 de marzo de 2021
Vulnerabilidad solucionada: widget de registro
Vulnerabilidades del pluggin Brainstorm Force Elementor
Los editores del plugin Ultimate Addons for Elementor notificaron a los clientes sobre una vulnerabilidad que afectaba a dos de sus plugins. Esta es la tercera vez este año que Brainstorm Force lanza una actualización para corregir vulnerabilidades en los addons de Elementor que publican.
Los dos plugins afectados son plugins para el popular complemento de creación de páginas Elementor. Los plugins son complementos de terceros que amplían la funcionalidad y características del plugin Elementor Page Builder.
Los plugins complementarios con vulnerabilidades son publicados por un tercero, Brainstorm Force.
Los addons afectados para Elementor son:
Addons definitivos para Elementor
Elementor – Plantilla de encabezado, pie de página y bloques
Un correo electrónico enviado por Brainstorm Force señaló que el equipo de seguridad de Wordfence les notificó de las vulnerabilidades y que respondieron en cuestión de horas.
Según el correo electrónico:
“En cada una de estas actualizaciones, corregimos una vulnerabilidad que el equipo de Wordfence informó que debía usar.
Estos son muy similares a los que el equipo de Elementor corrigió recientemente en su versión 3.1.2 “.
La vulnerabilidad de Elementor a la que hizo referencia Brainstorm Force se conoce como una vulnerabilidad de secuencias de comandos de sitios cruzados almacenados, una que tenía la posibilidad de permitir a los hackers informáticos malintencionados organizar una toma de control del sitio por completo.
Vulnerabilidad almacenada de secuencias de comandos entre sitios
Brainstorm Force no dijo explícitamente que el exploit parcheado fuera una vulnerabilidad almacenada de secuencias de comandos entre sitios. Solo compararon el exploit corregido con uno que fue parcheado por el software de creación de páginas Elementor.
Una vulnerabilidad almacenada de secuencias de comandos entre sitios es aquella en la que una secuencia de comandos maliciosa se carga directamente en el sitio web. Este tipo de vulnerabilidad generalmente se considera más grave que otro tipo de vulnerabilidad de secuencia de comandos entre sitios (XSS) denominada XSS reflejada que depende de que se haga clic en un enlace.
Con una vulnerabilidad de XSS almacenada, no es necesario hacer clic en un enlace, la vulnerabilidad existe en el sitio web afectado.
Wordfence no ha publicado detalles
Wordfence no ha publicado detalles de la vulnerabilidad. A partir de esta fecha, Brainstorm Force ha proporcionado la única descripción de la vulnerabilidad como similar a la vulnerabilidad del creador de páginas de Elementor.
Pero Brainstorm Force no declaró explícitamente que las vulnerabilidades de sus complementos son vulnerabilidades de XSS almacenadas. Solo que eran similares a la vulnerabilidad Elementor que era una vulnerabilidad XSS.
Versiones fijas de Addons de Elementor:
The Elementor – Plantilla de encabezado, pie de página y bloques
La plantilla Elementor – Encabezado, pie de página y bloques se actualizó el 31 de marzo de 2021 a la versión 1.5.8.
De acuerdo con el registro de cambios que documenta lo que contienen las actualizaciones, esta actualización lo fortaleció contra una vulnerabilidad.
Esto es lo que documentó el registro de cambios:
“1.5.8
Solución: opciones reforzadas permitidas en el editor para aplicar mejores políticas de seguridad “.
El hecho de que el editor necesitara un refuerzo da una pista que sugiere que la vulnerabilidad puede ser una que requiera que un pirata informático tenga privilegios de nivel de suscriptor.
Pero esto aún no se ha confirmado oficialmente hasta el momento.
Addons definitivos para Elementor
El plugin Ultimate Addons para Elementor también se actualizó el 31 de marzo de 2021 a la versión 1.30.0.
La razón dada en cuanto a lo que se corrigió es exactamente la misma que para Elementor – Plantilla de encabezado, pie de página y bloques.
De acuerdo con Ultimate Addons para Elementor changelog:
“Opciones reforzadas permitidas en el editor para aplicar mejores políticas de seguridad”.
Actualizar inmediatamente
Se recomienda encarecidamente que todos los editores que utilicen estos dos plugins actualicen sus versiones de inmediato.
Las últimas versiones parcheadas del software son:
- The Elementor – Plantilla de encabezado, pie de página y bloques 1.5.8
- Complementos definitivos para Elementor 1.30.0