בעיית אבטחה בתוסף פופולרי לאלמנטור

חברת Wordfence פרסמה אזהרת פגיעות בתוסף הוורדפרס Happy Addons for Elementor.
Wordfence היא חברה מובילה בתחום אבטחת אתרי WordPress וב-11 לנובמבר 2024 פרסמה החברה הודעת אזהרה על פגיעות XSS מאוחסן (stored XSS vulnerability) שתוקנה בתוסף הפופולרי Happy Addons עבור Elementor, אשר מותקן ביותר מ-400,000 אתרים.
הפרצה בתוסף אפשרה לתוקפים להעלות סקריפטים זדוניים שמבוצעים בעת ביקור בדפים הפגועים.
התוסף Happy Addons for Elementor מרחיב את יכולות בניית העמודים של אלמנטור ומציע עשרות ווידג'טים ותכונות חינמיות כמו רשתות תמונות, מערכת משוב וחוות דעת משתמשים, ותפריטי ניווט מותאמים אישית.
גרסה בתשלום של התוסף כוללת פונקציות עיצוב מתקדמות נוספות שמאפשרות ליצור אתרים מושכים ופונקציונליים בקלות.

מה זה פגיעות XSS מאוחסן?

פגיעות XSS מאוחסן (stored XSS vulnerability) היא בעיית אבטחה באתרי אינטרנט שמתרחשת כאשר מערכת האתר (כמו תבנית או תוסף) לא בודקת בצורה מספקת את המידע שהמשתמשים מזינים. זה מאפשר להאקרים "להתחבא" בתוך המידע הזה ולהעלות קודים מזיקים לשרת של האתר.
הקודים המזיקים נשמרים באתר וכשמשתמש רגיל מבקר בו, הקודים האלה פועלים בדפדפן שלו בלי שהוא שם לב. הפעולות שהקודים יכולים לבצע כוללות גניבת מידע אישי (כמו סיסמאות או עוגיות) או העברת המשתמש לאתרים מסוכנים.
במקרה של התוסף Happy Addons for Elementor, כדי לנצל את הבעיה הזו, ההאקר היה צריך הרשאות ברמה גבוהה יותר (Contributor). זה הפך את הניצול לקשה יותר, אבל עדיין מדובר בסיכון שצריך לפתור.
חברת Wordfence דירגה את הפגיעות בדרגת איום בינונית, עם ציון 6.4 מתוך 10.

המלצה למשתמשים

מומלץ למשתמשי התוסף לעדכן לגרסה האחרונה, 3.12.6, הכוללת טלאי אבטחה שמטפל בפגיעות זו.