В дополнении к плагину WordPress для популярного конструктора страниц Elementor недавно была исправлена уязвимость, затрагивающая более 200 000 установок. Эксплойт, обнаруженный в плагине Jeg Elementor Kit, позволяет злоумышленникам, прошедшим проверку подлинности, загружать вредоносные скрипты.
В рекомендациях Wordfence объясняется:
Плагин Jeg Elementor Kit для WordPress уязвим для сохраненных межсайтовых скриптов при загрузке файлов SVG во всех версиях до версии 2.6.7 включительно из-за недостаточной очистки ввода и экранирования вывода. Это позволяет аутентифицированным злоумышленникам с доступом на уровне автора и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь обращается к файлу SVG.
Угроза среднего уровня
Уязвимость получила оценку угрозы среднего уровня 6,4 по шкале от 1 до 10. Пользователям рекомендуется обновить Jeg Elementor Kit до версии 2.6.8 (или выше, если таковая имеется).