Hot News
Wordfence emitiu um comunicado sobre uma vulnerabilidade corrigida no popular plugin Happy Addons for Elementor, instalado em mais de 400.000 sites. A falha de segurança pode permitir que invasores carreguem scripts maliciosos que são executados quando os navegadores visitam as páginas afetadas.
Complementos felizes para Elementor
O plugin Happy Addons for Elementor estende o construtor de páginas Elementor com dezenas de widgets gratuitos e recursos como grades de imagens, função de feedback e avaliações do usuário e menus de navegação personalizados. Uma versão paga do plugin oferece ainda mais funcionalidades de design que facilitam a criação de sites WordPress funcionais e atraentes.
Scripting entre sites armazenados (XSS armazenado)
XSS armazenado é uma vulnerabilidade que normalmente ocorre quando um tema ou plug-in não filtra adequadamente as entradas do usuário (chamado sanitização), permitindo que scripts maliciosos sejam carregados no banco de dados e armazenados no próprio servidor. Quando um usuário visita o site, o script é baixado para o navegador e executa ações como roubar cookies do navegador ou redirecionar o usuário para um site malicioso.
A vulnerabilidade XSS armazenada que afeta o plugin Happy Addons for Elementor requer que um hacker adquira permissões de nível de Colaborador (autenticação), tornando mais difícil tirar vantagem da vulnerabilidade.
A empresa de segurança WordPress Wordfence classificou a vulnerabilidade como 6,4 em uma escala de 1 a 10, um nível de ameaça médio.
De acordo com o Wordfence:
“O plug-in Happy Addons for Elementor para WordPress é vulnerável a scripts entre sites armazenados por meio do parâmetro before_label no widget de comparação de imagens em todas as versões até 3.12.5, inclusive, devido à limpeza insuficiente de entrada e escape de saída. Isso possibilita que invasores autenticados, com acesso de nível de Colaborador e superior, injetem scripts da Web arbitrários em páginas que serão executadas sempre que um usuário acessar uma página injetada.”
Os usuários do plug-in devem considerar a atualização para a versão mais recente, atualmente 3.12.6, que contém um patch de segurança para a vulnerabilidade.
Leia o comunicado do Wordfence:
Happy Addons para Elementor <= 3.12.5 – Scripting entre sites armazenados autenticados (Contributor +) por meio de comparação de imagens
Imagem em destaque da Shutterstock/Red Cristal
#hotnews #noticias #tecnologia #AtualizaçõesDiárias #SigaHotnews #FiquePorDentro #ÚltimasNotícias #InformaçãoAtual