Top.Mail.Ru
Уязвимость плагина Elementor WordPress

В плагине конструктора веб-сайтов Elementor была обнаружена уязвимость высокой степени серьезности, которая могла позволить злоумышленнику загружать файлы на сервер веб-сайта и выполнять их. Уязвимость заключается в функции загрузки шаблонов.

Неограниченная загрузка Elementor файла с уязвимостью опасного типа

Конструктор веб-сайтов Elementor — популярный плагин WordPress, который установили более 5 миллионов человек. Популярность обусловлена ​​простой в использовании функцией перетаскивания для создания профессионально выглядящих веб-сайтов.

Уязвимость, обнаруженная в Elementor, имеет рейтинг 8,8 из 10 и, как утверждается, делает веб-сайты, использующие Elementor, открытыми для удаленного выполнения кода, благодаря чему злоумышленник может фактически контролировать затронутый веб-сайт и запускать различные команды.

Тип уязвимости описан как «Неограниченная загрузка файла опасного типа». Этот тип уязвимости представляет собой эксплойт, позволяющий злоумышленнику загружать вредоносные файлы, что, в свою очередь, позволяет злоумышленнику выполнять команды на затронутом сервере веб-сайта.

Обычно такого рода проблемы описываются следующим образом:

«Продукт позволяет злоумышленнику загружать или передавать файлы опасных типов, которые могут быть автоматически обработаны в среде продукта».

Wordfence описывает эту конкретную уязвимость:

«Плагин Elementor Website Builder… для WordPress уязвим к удаленному выполнению кода посредством загрузки файлов во всех версиях до 3.18.0 включительно с помощью функции импорта шаблонов.

Это позволяет аутентифицированным злоумышленникам с доступом на уровне участника и выше загружать файлы и выполнять код на сервере».

Wordfence также указывает, что патча для решения этой проблемы не существует, и рекомендует удалить Elementor.

«Нет известного патча. Пожалуйста, внимательно ознакомьтесь с подробностями уязвимости и примените меры по ее устранению с учетом толерантности вашей организации к риску. Возможно, лучше всего удалить уязвимое программное обеспечение и найти замену».

Обновление версии Elementor 3.18.1

Сегодня Elementor выпустил обновление до версии 3.18.1. Неясно, устраняет ли этот патч уязвимость, поскольку на сайте Wordfence в настоящее время указано, что уязвимость не исправлена.

Об этой уязвимости сообщили недавно, и факты могут измениться. Однако Wordfence предупреждает, что хакеры уже атакуют веб-сайты Elementor, поскольку на момент публикации объявления их платная версия уже заблокировала одиннадцать попыток взлома.










Источник: searchenginejournal.com
Изображение от <a href="https://ru.freepik.com/free-photo/side-view-of-male-hacker-with-gloves-and-laptop_8725466.htm#query=...;

Поделиться в соц. сетях

Рекомендуем прочитать

Виртуальные туры

Виртуальные туры

  • 20 февраля 2013

Мы запускаем новую услугу — создание виртуальных туров! Это лучший способ презентации Вашего бизнеса!

Наберитесь терпения, скоро вы узнаете подробную информацию. А пока…

Читать далее
Губернатор Тверской области Д.В. Зеленин отметил успехи компании "Взлет Медиа" в 2010 году

Губернатор Тверской области Д.В. Зеленин отметил успехи компании "Взлет Медиа" в 2010 году

  • 24 декабря 2010

24 декабря ведущие специалисты компании «Взлет Медиа» были награждены почетными грамотами губернатора Тверской области. Награды вручал начальник департамента транспорта и связи Церен Церенов.

Читать далее