El complemento Elementor de WordPress sufre 6 vulnerabilidades

Los investigadores de seguridad emitieron un aviso sobre seis vulnerabilidades XSS únicas descubiertas en Elementor Website Builder y su versión Pro que pueden permitir a los atacantes inyectar scripts maliciosos.

Creador de sitios web Elementor

Elementor es una plataforma cabecilla de creación de sitios web con más de 5 millones de instalaciones activas en todo el mundo, y el depósito oficial de WordPress afirma que gestiona más de 16 millones de sitios web en todo el mundo. La interfaz de arrastrar y soltar permite a cualquiera crear rápidamente sitios web profesionales, mientras que la versión Pro amplía la plataforma con widgets adicionales y capacidades avanzadas de comercio electrónico.

Esa popularidad también ha convertido a Elementor en un objetivo popular para los piratas informáticos, lo que hace que estas seis vulnerabilidades sean especialmente preocupantes.

Seis vulnerabilidades XSS

Elementor Website Builder y la versión Pro contienen seis vulnerabilidades diferentes de Cross-Site Scripting (XSS). Cinco de las vulnerabilidades se deben a una desinfección insuficiente de los insumos y al escape de salida, mientras que una de ellas se debe a una desinfección insuficiente de los insumos.

La desinfección de entradas es una práctica de codificación estándar que se utiliza para proteger áreas de un complemento que permiten a los usuarios ingresar datos en un campo de formulario o cargar medios. El proceso de higienización bloquea cualquier entrada que no se ajuste a lo esperado. Una entrada adecuadamente protegida para datos de texto debería bloquear scripts o HTML, que es lo que hace la desinfección de entrada.

El escape de salida es el proceso de proteger lo que el complemento envía al navegador para evitar que exponga el navegador de un visitante del sitio a scripts que no son de confianza.

El manual oficial para desarrolladores de WordPress consejos para la sanitización de insumos:

«Desinfectar los datos de entrada es el proceso de asegurar/limpiar/filtrar los datos de entrada».

Es importante tener en cuenta que las seis vulnerabilidades son distintas y no tienen ninguna relación entre sí y surgen específicamente de una seguridad insuficiente por parte de Elementor. Es posible que uno de ellos, CVE-2024-2120, afecte tanto a la versión gratuita como a la pro. Me comuniqué con Wordfence para obtener una puntualización al respecto y actualizaré este artículo en consecuencia cuando reciba una respuesta.

Lista de seis vulnerabilidades de Elementor

La siguiente es una lista de las seis vulnerabilidades y las versiones a las que afectan. Las seis vulnerabilidades están clasificadas como amenazas de seguridad de nivel medio. Los dos primeros de la lista afectan a Elementor Website Builder y los cuatro siguientes afectan a la versión Pro. El número CVE es una referencia a la entrada oficial en la base de datos de vulnerabilidades y exposiciones comunes que sirve como referencia para vulnerabilidades conocidas.

1. Creador de sitios web Elementor (CVE-2024-2117)
   Afecta hasta 3.20.2 inclusive: secuencias de comandos entre sitios almacenadas basadas en DOM autenticadas a través del widget de ruta
2. Elementor Website Builder Pro (y quizás gratuito) (CVE-2024-2120)
   Afecta hasta 3.20.1 inclusive: secuencias de comandos entre sitios almacenadas y autenticadas mediante navegación posterior
3. Creador de sitios web Elementor Pro (CVE-2024-1521)
   Afecta hasta 3.20.1 inclusive: secuencias de comandos entre sitios almacenadas y autenticadas a través de la carga de archivos SVGZ del widget de formulario
   Esta vulnerabilidad solo afecta a los servidores que ejecutan servidores basados ​​en NGINX. Los servidores que ejecutan Apache HTTP Server no se ven afectados.
4. Creador de sitios web Elementor Pro (CVE-2024-2121)
   Afecta hasta 3.20.1 inclusive: secuencias de comandos entre sitios almacenadas y autenticadas a través del widget Media Carousel
5. Creador de sitios web Elementor Pro (CVE-2024-1364)
   Afecta hasta 3.20.1 inclusive: scripts entre sitios almacenados autenticados a través del custom_id del widget
6. Creador de sitios web Elementor Pro (CVE-2024-2781)
   Afecta hasta 3.20.1 inclusive: secuencias de comandos entre sitios almacenadas basadas en DOM autenticadas a través de video_html_tag

Las seis vulnerabilidades están clasificadas como amenazas de seguridad de nivel medio y requieren un nivel de permiso de nivel de colaborador para ejecutarse.

Registro de cambios del creador de sitios web de Elementor

Según Wordfence existen dos vulnerabilidades que afectan a la versión gratuita de Elementor. Pero el registro de cambios muestra que solo hay una solución.

Los problemas que afectan a la versión gratuita se encuentran en el widget de ruta y en el widget de navegación posterior.

Pero el registro de cambios para la versión gratuita solo enumera un parche para el widget de ruta de texto y no el de navegación posterior:

«Solución de seguridad: aplicación de seguridad de código mejorada en el widget de ruta de texto»

El widget de navegación de publicaciones es una función de navegación que permite a los visitantes del sitio navegar a la publicación anterior o siguiente en una serie de publicaciones.

Entonces, aunque falta en el registro de cambios, está incluido en el Registro de cambios de Elementor Pro lo que muestra que está arreglado en esa versión:

• “Solución de seguridad: aplicación de seguridad de código mejorada en el widget Media Carousel
• Solución de seguridad: aplicación de seguridad de código mejorada en el widget de formulario
• Solución de seguridad: aplicación de seguridad de código mejorada en el widget de navegación posterior
• Solución de seguridad: aplicación de seguridad de código mejorada en el widget de Galería
• Solución de seguridad: aplicación de seguridad de código mejorada en el widget de lista de reproducción de videos”

La entrada que falta en el registro de cambios gratuito puede ser un error tipográfico de Wordfence porque el aviso oficial de Wordfence para CVE-2024-2120 muestra una entrada para «software slug» como elementor-pro.

Curso de acción recomendado

Se recomienda a los usuarios de ambas versiones de Elementor Website Builder que actualicen su complemento a la última versión. Aunque la ejecución de la vulnerabilidad requiere que un atacante adquiera credenciales de permiso de nivel de colaborador, todavía está dentro del ámbito de posibilidades, especialmente si los contribuyentes no tienen contraseñas seguras.

Lea los avisos oficiales de Wordfence:

Elementor Website Builder – Más que un simple creador de páginas <= 3.20.2 – Secuencias de comandos entre sitios almacenadas basadas en DOM autenticadas (Contributor+) a través del widget de ruta CVE-2024-2117

Elementor Website Builder: más que un simple creador de páginas <= 3.20.1: secuencias de comandos entre sitios almacenadas autenticadas (Contributor+) mediante navegación posterior CVE-2024-2120

Elementor Website Builder Pro <= 3.20.1 – Secuencias de comandos entre sitios almacenadas autenticadas (Colaborador+) a través del widget de formulario Carga de archivos SVGZ CVE-2024-1521

Elementor Website Builder Pro <= 3.20.1 – Secuencias de comandos entre sitios almacenadas autenticadas (Colaborador+) CVE-2024-2121

Elementor Website Builder Pro <= 3.20.1: scripts entre sitios almacenados autenticados (Colaborador+) a través del custom_id del widget CVE-2024-1364

Elementor Website Builder Pro <= 3.20.1 – Secuencias de comandos entre sitios almacenadas basadas en DOM autenticadas (Contributor+) a través de video_html_tag CVE-2024-2781

Imagen destacada de Shutterstock/hugolacasse