Er is een zogeheten stored XSS kwetsbaarheid aangetroffen in de Happy Addons for Elementor plugin, die op meer dan 400.000 WordPress websites geïnstalleerd is.
Happy Addons for Elementor plugin
De Happy Addons for Elementor plugin is een verzameling van tientallen extensies voor de Elementor page builder. De gratis versie van de plugin biedt onder andere verschillende afbeelding-grids, feedback en recensie features en custom navigatiemogelijkheden. Er is ook een premium versie die nog meer functionaliteiten biedt, vooral op het gebied van design.
Stored XSS-kwetsbaarheid
Een Stored Cross-Site Scripting (Stored XSS) kwetsbaarheid kan voorkomen wanneer een thema of plugin de input van gebruikers niet op adequate wijze filtert. In dat geval kunnen kwaadwillenden malafide scripts uploaden naar de database van de website. Wanneer een nietsvermoedende bezoeker op de website komt, wordt zo’n script naar de browser van de bezoeker gedownload. Vervolgens kan het script bepaalde acties uitvoeren, zoals het stelen van browser cookies of het doorverwijzen van de bezoeker naar een phishing website.
De Stored XSS kwetsbaarheid die in de Happy Addons for Elementor plugin werd aangetroffen, vereist minimaal een Bijdrager gebruikersrol. Het is daarom net even wat lastiger voor hackers om misbruik te maken van de kwetsbaarheid. Wordfence beoordeelt deze specifieke kwetsbaarheid met een 6.4 op de schaal van 1 tot 10. De kwetsbaarheid is aanwezig in alle versies van Happy Addons for Elementor, tot en met versie 3.12.5.
Update met patch
De ontwikkelaar van Happy Addons for Elementor heeft inmiddels een update met patch uitgerold. Iedereen die van de plugin gebruik maakt, wordt geadviseerd om zo snel mogelijk te updaten naar de meest recente versie. Op dit moment is dat versie 3.12.6. Voor meer informatie over deze kwetsbaarheid verwijzen we je naar het rapport van Wordfence.
Lees ook: Zo maken hackers misbruik van kwetsbaarheden in WordPress plugins