به روزرسانی 2: از اواخر 9 مارس 2021 ، آسیب پذیری ها به طور کامل در نسخه 4.1.7 اصلاح شده اند. ما به شدت توصیه می کنیم برای ایمن نگه داشتن سایت های خود سریعاً به این نسخه به روزرسانی کنید. با تشکر ویژه از توسعه دهندگان افزونه برای کار در اسرع وقت برای حل این مشکلات.

به روزرسانی 1: در تاریخ 9 مارس 2021 ، آسیب پذیری هنوز به طور کامل اصلاح نشده است. توسعه دهنده پلاگین اندکی پس از افشای ما نسخه ای وصله از پلاگین (4.1.6) را منتشر کرد ، با این حال ، به روزرسانی به طور کامل آسیب پذیری را برطرف نمی کند. ما در حال تماس با توسعه دهنده هستیم و آنها به سرعت در حال رفع مشکلات اضافی هستند ، انتظار داریم که به زودی وصله جدیدی منتشر شود. پس از انتشار پچ کاملاً کافی ، این پست را به روز خواهیم کرد.

امروز ، 8 مارس 2021 ، تیم Wordfence Threat Intelligence از یک 0 روز حساس در The Plus Addons for Elementor مطلع شدند ، یک افزونه برتر که ما تخمین می زنیم بیش از 30000 نصب داشته باشد. این آسیب پذیری صبح امروز توسط شرکت میزبان Seravo به WPScan گزارش شد . این نقص این امکان را برای مهاجمان ایجاد می کند که در صورت فعال بودن ثبت نام کاربر ، همراه با ورود به سیستم به عنوان سایر کاربران مدیریتی ، حساب های کاربری جدید مدیریتی را در سایت های آسیب پذیر ایجاد کنند.

Plus Addons for Elementor Lite ، نسخه رایگان همان توسعه دهنده ، به نظر نمی رسد در برابر این سوerable استفاده آسیب پذیر باشد.

مشتریان Wordfence Premium در 8 مارس 2021 قانونی برای محافظت در برابر بهره برداری فعال از این آسیب پذیری دریافت کردند. کاربران Wordfence که هنوز از نسخه رایگان استفاده می کنند در 7 آوریل 2021 محافظت می شوند.

اگر از پلاگین Plus Plus برای Elementor استفاده می کنید ، اکیداً توصیه می کنیم پلاگین را غیرفعال کرده و به طور کامل حذف کنید تا زمانی که این آسیب پذیری وصله شود. اگر نسخه رایگان برای نیازهای شما کافی است ، می توانید فعلاً به آن نسخه بروید. اگر عملکرد سایت شما به این افزونه وابسته است ، توصیه می کنیم ابزارک های ثبت نام یا ورود به سیستم توسط افزونه را به طور کامل حذف کرده و ثبت نام را در سایت خود غیرفعال کنید. در زمان انتشار این نسخه هیچ نسخه وصله ای موجود نیست.

توضیحات:
افزونه  : افزونه های اضافی برای پلاگین The Plus Addons for Elementor
نسخه های تحت تأثیر: <= 4.1.6
ID CVE: 2021-24175
امتیاز CVSS: 9.8 (انتقادی)
CVSS بردار: CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: H / A: H
نسخه کاملاً وصله دار: 4.1.7
The Plus Addons for Elementor افزونه ای است که برای افزودن چندین ابزارک اضافی جهت استفاده در کنار Elementor طراحی شده است. یکی از این ابزارک ها امکان افزودن فرم ورود به سیستم و ثبت نام کاربر را به صفحه Elementor اضافه کرد. متأسفانه ، این قابلیت به طور نامناسب پیکربندی شده است و به مهاجمان اجازه می دهد تا به عنوان کاربر اداری ثبت نام کنند یا به عنوان یک کاربر مدیریتی دیگر وارد سیستم شوند.

لازم به ذکر است که حتی اگر صفحه ورود یا ثبت نام فعال که با افزونه ایجاد شده باشد ، از این آسیب پذیری همچنان می توان بهره برد . این بدان معنی است که هر سایتی که این افزونه را اجرا کند در معرض خطر قرار دارد.

در حال حاضر ، به دلیل آسیب پذیری فعال بهره برداری شده ، ما جزئیات بسیار کمی را منتشر می کنیم. ممکن است تصمیم بگیریم در آینده جزئیات بیشتری را منتشر کنیم ، اما در همین حال توصیه می کنیم اقدامات مناسبی را برای ایمن سازی سایت خود انجام دهید.

در پست امروز ، ما جزئیات آسیب پذیری روز صفر را که به طور فعال در The Plus Addons for Elementor مورد سو استفاده قرار می گیرد ، شرح دادیم ، افزونه ای که به مهاجمان غیرمجاز اجازه می دهد مجوزهای خود را در یک نصب آسیب پذیر وردپرس افزایش دهند. می توان از این طریق برای به دست گرفتن کامل یک سایت وردپرس استفاده کرد. این آسیب پذیری در حال حاضر از امروز صبح جبران نشده است و بنابراین ، ما اکیداً توصیه می کنیم پلاگین را تا زمان انتشار پچ غیرفعال و حذف کنید.

کاربرانی که افزونه وردفنس پرمیوم را نصب دارند، در 8 مارس 2021 قانونی برای محافظت در برابر بهره برداری فعال از این آسیب پذیری دریافت کردند. کاربران Wordfence که هنوز از نسخه رایگان استفاده می کنند در 7 آوریل 2021 محافظت می شوند.

لطفاً این پست را به طور گسترده ارسال کرده و به اشتراک بگذارید تا افرادی که از این افزونه آسیب پذیر استفاده می کنند بتوانند برای محافظت از سایتهای خود سریع اقدام کنند زیرا این آسیب پذیری روز صفر در حال حاضر در طبیعت مورد سو استفاده قرار می گیرد.