Stored XSS kwetsbaarheid in Happy Addons for Elementor plugin

Stored XSS kwetsbaarheid in Happy Addons for Elementor plugin

Er is een zogeheten stored XSS kwetsbaarheid aangetroffen in de Happy Addons for Elementor plugin, die op meer dan 400.000 WordPress websites geïnstalleerd is.  

Happy Addons for Elementor plugin

De Happy Addons for Elementor plugin is een verzameling van tientallen extensies voor de Elementor page builder. De gratis versie van de plugin biedt onder andere verschillende afbeelding-grids, feedback en recensie features en custom navigatiemogelijkheden. Er is ook een premium versie die nog meer functionaliteiten biedt, vooral op het gebied van design.

Stored XSS-kwetsbaarheid

Een Stored Cross-Site Scripting (Stored XSS) kwetsbaarheid kan voorkomen wanneer een thema of plugin de input van gebruikers niet op adequate wijze filtert. In dat geval kunnen kwaadwillenden malafide scripts uploaden naar de database van de website. Wanneer een nietsvermoedende bezoeker op de website komt, wordt zo’n script naar de browser van de bezoeker gedownload. Vervolgens kan het script bepaalde acties uitvoeren, zoals het stelen van browser cookies of het doorverwijzen van de bezoeker naar een phishing website.

De Stored XSS kwetsbaarheid die in de Happy Addons for Elementor plugin werd aangetroffen, vereist minimaal een Bijdrager gebruikersrol. Het is daarom net even wat lastiger voor hackers om misbruik te maken van de kwetsbaarheid. Wordfence beoordeelt deze specifieke kwetsbaarheid met een 6.4 op de schaal van 1 tot 10. De kwetsbaarheid is aanwezig in alle versies van Happy Addons for Elementor, tot en met versie 3.12.5.

Update met patch

De ontwikkelaar van Happy Addons for Elementor heeft inmiddels een update met patch uitgerold. Iedereen die van de plugin gebruik maakt, wordt geadviseerd om zo snel mogelijk te updaten naar de meest recente versie. Op dit moment is dat versie 3.12.6. Voor meer informatie over deze kwetsbaarheid verwijzen we je naar het rapport van Wordfence.

 

Lees ook: Zo maken hackers misbruik van kwetsbaarheden in WordPress plugins

Wil jij meer leren over Wordpress?

In de kennisbank vertellen we je alles over de belangrijkste onderwerpen

  • Snel en gemakkelijk contact met een WordPress expert
  • Ontvang als eerste nieuwtjes & leuke acties
  • Overleg met andere WordPress fans

Je WordPress vraag of probleem razendsnel opgelost met de hulp van een echte WordPress developer!

Join de grootste WordPress community van Nederland & stel je vraag via ons WordPress ticketsysteem.

Medaille-buddy

Blijf op de hoogte van het laatste WordPress nieuws.

Schrijf je in voor onze wekelijkse nieuwsbrief.