वर्डप्रेस के लिए 17+ एलिमेंट एड-ऑन प्लगिन में कमजोरियाँ

Wordfence सुरक्षा शोधकर्ताओं ने पाया कि लगभग हर प्लगइन ने परीक्षण किया जो कि Elementor में कार्यक्षमता जोड़ता है, जिसमें भेद्यता थी। कई संपर्क प्लगइन प्रकाशकों ने अपने प्लगइन्स को अपडेट किया लेकिन सभी ने जवाब नहीं दिया, जिसमें प्रीमियम प्लगइन्स भी शामिल हैं।

एलिमेंट पेज बिल्डर प्लगइन ही फरवरी 2021 में एक समान भेद्यता पैच

यह भेद्यता प्राथमिक पार्टियों के लिए ऐड-ऑन प्लगइन्स को प्रभावित करती है जो तीसरे पक्ष द्वारा बनाई जाती हैं।

विज्ञापन

नीचे पढ़ना जारी रखें

Wordfence के अनुसार:

“हमने लगभग हर प्लगइन में वही कमजोरियाँ पाईं जिनकी हमने समीक्षा की थी जो एलिमेंट पेज बिल्डर में अतिरिक्त तत्व जोड़ता है।”

तो ऐसा लगता है कि तृतीय पक्ष प्लगइन्स के भीतर यह भेद्यता काफी व्यापक है जो कि एलिमेंट पर ऐड-ऑन हैं

संग्रहित क्रॉस-साइट स्क्रिप्टिंग भेद्यता

एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग भेद्यता विशेष रूप से समस्याग्रस्त है क्योंकि दुर्भावनापूर्ण स्क्रिप्ट को वेबसाइट पर ही अपलोड और संग्रहीत किया जाता है। फिर जब कोई उपयोगकर्ता प्रभावित वेब पेज पर जाता है तो ब्राउज़र दुर्भावनापूर्ण स्क्रिप्ट निष्पादित करेगा।

यदि साइट पर जाने वाले व्यक्ति में प्रवेश किया गया है और उसके पास व्यवस्थापक स्तर पहुंच है, तो स्क्रिप्ट का उपयोग उस स्तर तक पहुंच प्रदान करने के लिए किया जा सकता है और कुल साइट अधिग्रहण के लिए ले जा सकता है।

विज्ञापन

नीचे पढ़ना जारी रखें

यह विशेष रूप से भेद्यता एक हमलावर को कम से कम योगदानकर्ता स्तर की अनुमति देता है जिसमें स्क्रिप्ट को उस स्थान पर अपलोड करने की अनुमति मिलती है जहां एक तत्व (हेडर तत्व की तरह) होना चाहिए।

यह हमला फरवरी 2021 में एलीमेंटर पैच के समान है।

इस प्रकार है तत्व भेद्यता वर्णित है:

“… शीर्षक” तत्व को हेडर_साइज़ पैरामीटर के माध्यम से विभिन्न शीर्षक आकारों को लागू करने के लिए एच 1, एच 2, एच 3, आदि टैग का उपयोग करने के लिए सेट किया जा सकता है।

दुर्भाग्य से, इनमें से छह तत्वों के लिए, HTML टैग्स सर्वर साइड पर मान्य नहीं थे, इसलिए किसी भी उपयोगकर्ता के लिए संभव है कि वह एलीमेंटर एडिटर को एक्सेस करने में सक्षम हो, जिसमें योगदानकर्ता भी शामिल हों, निष्पादन योग्य जावास्क्रिप्ट को पोस्ट या पेज के माध्यम से जोड़ने के लिए इस विकल्प का उपयोग करें। एक गढ़ा अनुरोध। ”

शीर्ष एलिमेंट एड-ऑन प्लगइन्स की सूची निश्चित

एलिमेंट के लिए सत्रह प्लगइन्स के नीचे की सूची जो प्रभावित हुई थी, लाखों साइटों पर स्थापित हैं।

उन प्लगइन्स में से सौ से अधिक समापन बिंदु हैं, जिसका अर्थ है कि प्रत्येक प्लग में कई कमजोरियां थीं जहां एक हमलावर एक दुर्भावनापूर्ण जावास्क्रिप्ट फ़ाइल अपलोड कर सकता है।

निम्नलिखित सूची सिर्फ एक आंशिक है।

यदि आपका तृतीय पक्ष प्लगइन, जो कि एलीमेंटर के लिए कार्यक्षमता जोड़ता है, तो सूचीबद्ध नहीं है, तो यह सुनिश्चित करने के लिए प्रकाशक के साथ जांच करना अनिवार्य है कि क्या यह देखने के लिए जाँच की गई है कि क्या इसमें भी यह भेद्यता है।

विज्ञापन

नीचे पढ़ना जारी रखें

टॉप 17 पैचेड एलिमेंट प्लगइन्स की सूची

  1. एलिमेंट के लिए आवश्यक अतिरिक्त
  2. एलिमेंट – हेडर, फूटर और ब्लॉक्स टेम्प्लेट
  3. एलिमेंट के लिए अल्टीमेट ऐडऑन
  4. एलिमेंट के लिए प्रीमियम ऐडऑन
  5. एलिमेंट्सकिट
  6. तत्व जोड़ने वाला तत्व
  7. एलिमेंटर के लिए Livemesh Addons
  8. एचटी मेगा – एलिमेंट पेज बिल्डर के लिए एब्सोल्यूट ऐडऑन
  9. WooLentor – WooCommerce Elementor Addons + Builder
  10. एलिमेंट के लिए पावरपैक एडऑन
  11. इमेज हॉवर इफेक्ट्स – एलिमेंट एडऑन
  12. Rife Elementor एक्सटेंशन और टेम्पलेट
  13. एलिमेंट पेज बिल्डर लाइट के लिए प्लस एडन्स
  14. एलिमेंट के लिए ऑल-इन-वन ऐडऑन – विजेटगेट
  15. JetWidgets तत्व के लिए
  16. तत्व के लिए सिना एक्सटेंशन
  17. तत्व के लिए DethemeKit

यदि आप एक एलिमेंट प्लगिन का उपयोग करते हैं तो क्या करें?

एलिमेंट के लिए थर्ड पार्टी प्लगइन्स का उपयोग करने वाले प्रकाशकों को यह सुनिश्चित करना चाहिए कि उन प्लगइन्स को इस भेद्यता को पैच करने के लिए अपडेट किया गया है।

जबकि इस भेद्यता के लिए कम से कम योगदानकर्ता स्तर की पहुंच की आवश्यकता होती है, एक हैकर जो विशेष रूप से किसी साइट को लक्षित कर रहा है, सोशल इंजीनियरिंग सहित उन क्रेडेंशियल्स को प्राप्त करने के लिए विभिन्न हमलों या रणनीतियों का लाभ उठा सकता है।

विज्ञापन

नीचे पढ़ना जारी रखें

Wordfence के अनुसार:

“एक हमलावर के लिए प्रशासनिक क्रेडेंशियल हासिल करने की तुलना में योगदानकर्ता विशेषाधिकारों के साथ एक खाते तक पहुंच प्राप्त करना आसान हो सकता है, और इस प्रकार की भेद्यता का उपयोग समीक्षा करने वाले व्यवस्थापक के ब्राउज़र सत्र में जावास्क्रिप्ट को निष्पादित करके विशेषाधिकार वृद्धि करने के लिए किया जा सकता है।”

यदि एलिमेंट में आपके तीसरे पक्ष के ऐड-ऑन प्लगइन को हाल ही में एक भेद्यता को पैच करने के लिए अपडेट नहीं किया गया है, तो आप उस प्लगइन के प्रकाशक से संपर्क कर सकते हैं ताकि यह पता लगाया जा सके कि क्या वह सुरक्षित है।

उद्धरण

हाल ही में पैच द एलिमेंट इकोसिस्टम रॉक

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *