اینجا لیستی از ۶ تا حفره امنیتی و نسخههایی که تحت تاثیر قرار میدن رو میبینیم. خطر همه این آسیبها در سطح متوسط قرار داده شده. ۲ حفرهٔ اول مربوط به نسخهٔ رایگان Elementor هستن و ۴ تای بعدی تو نسخهٔ حرفهای (Pro) وجود دارن.
(نسخه رایگان) (CVE-2024-2117)
- روی نسخههای ۳.۲۰.۲ و پایینتر تاثیر میذاره
- نوع آسیب: ذخیره شدن اسکریپت مخرب بین سایتی (Stored Cross-Site Scripting) با تایید دسترسی از نوع DOM Based
(نسخه پریمیوم) (ممکنه روی نسخه رایگان هم تاثیر بذاره) (CVE-2024-2120)
- روی نسخههای ۳.۲۰.۱ و پایینتر تاثیر میذاره
- نوع آسیب: ذخیره شدن اسکریپت مخرب بین سایتی (Stored Cross-Site Scripting) با تایید دسترسی از طریق Post Navigation
(نسخه پریمیوم) (CVE-2024-1521)
- روی نسخههای ۳.۲۰.۱ و پایینتر تاثیر میذاره
- نوع آسیب: ذخیره شدن اسکریپت مخرب بین سایتی (Stored Cross-Site Scripting) با تایید دسترسی از طریق آپلود فایل SVGZ در ویجت فرم
- نکته مهم: این آسیب پذیری فقط سرورهایی که وبسرور NGINX دارن رو درگیر میکنه، و اگه وب سرور شما Apache و احتمالا لایتاسپید باشه تحت تاثیر قرار نمیگیره.
(نسخه پریمیوم) (CVE-2024-2121)
- روی نسخههای ۳.۲۰.۱ و پایینتر تاثیر میذاره
- نوع آسیب: ذخیره شدن اسکریپت مخرب بین سایتی (Stored Cross-Site Scripting) با تایید دسترسی از طریق ویجت Media Carousel
(نسخه پریمیوم) (CVE-2024-1364)
- روی نسخههای ۳.۲۰.۱ و پایینتر تاثیر میذاره
- نوع آسیب: ذخیره شدن اسکریپت مخرب بین سایتی (Stored Cross-Site Scripting) با تایید دسترسی از طریق custom_id ویجت
(نسخه پریمیوم) (CVE-2024-2781)
- روی نسخههای ۳.۲۰.۱ و پایینتر تاثیر میذاره
- نوع آسیب: ذخیره شدن اسکریپت مخرب بین سایتی (Stored Cross-Site Scripting) با تایید دسترسی با نوع DOM Based از طریق video_html_tag
اگه از المنتور استفاده میکنید مهم هست حتما همین الان هم نسخه رایگان و هم نسخه PRO رو به اخرین نسخه آپدیت کنید، المنتور ۳ روز پیش با انتشار آپدیت ۳.۲۰.۳ این آسیبپذیریهارو برطرف کرده.