Op sites die de Elementor-plug-in voor WordPress hebben geïnstalleerd is het mogelijk voor gebruikers met de edit_posts-optie, waaronder gebruikers op redacteur-niveau, om blokken op elke pagina te importeren waardoor de website kwetsbaar is, via cross-site scripting, voor aanvallers.

Een aanvaller kan een blok maken dat kwaadaardig JavaScript bevat op een server die hij beheert, en het vervolgens gebruiken om een bericht of pagina te overschrijven door een AJAX-verzoek te sturen, de url-parameter verwijzen naar hun op afstand gehoste kwaadaardige blokkering, evenals een id-parameter die het bericht of de pagina bevat die moet worden overschreven.

Elk bericht of elke pagina die met Elementor is gebouwd, inclusief gepubliceerde pagina’s, kan worden overschreven door het geïmporteerde blok, en het kwaadaardige JavaScript in het geïmporteerde blok zou dan worden uitgevoerd in de browser van alle bezoekers van die pagina.

Advies:
direct update uitvoeren van elementor naar versie 2.7.1. of later.

Meer informatie:
Mageni Vulnerability Scanning, Assessment and Management (website)