Top.Mail.Ru
Уязвимость плагина Elementor WordPress

В плагине конструктора веб-сайтов Elementor была обнаружена уязвимость высокой степени серьезности, которая могла позволить злоумышленнику загружать файлы на сервер веб-сайта и выполнять их. Уязвимость заключается в функции загрузки шаблонов.

Неограниченная загрузка Elementor файла с уязвимостью опасного типа

Конструктор веб-сайтов Elementor — популярный плагин WordPress, который установили более 5 миллионов человек. Популярность обусловлена ​​простой в использовании функцией перетаскивания для создания профессионально выглядящих веб-сайтов.

Уязвимость, обнаруженная в Elementor, имеет рейтинг 8,8 из 10 и, как утверждается, делает веб-сайты, использующие Elementor, открытыми для удаленного выполнения кода, благодаря чему злоумышленник может фактически контролировать затронутый веб-сайт и запускать различные команды.

Тип уязвимости описан как «Неограниченная загрузка файла опасного типа». Этот тип уязвимости представляет собой эксплойт, позволяющий злоумышленнику загружать вредоносные файлы, что, в свою очередь, позволяет злоумышленнику выполнять команды на затронутом сервере веб-сайта.

Обычно такого рода проблемы описываются следующим образом:

«Продукт позволяет злоумышленнику загружать или передавать файлы опасных типов, которые могут быть автоматически обработаны в среде продукта».

Wordfence описывает эту конкретную уязвимость:

«Плагин Elementor Website Builder… для WordPress уязвим к удаленному выполнению кода посредством загрузки файлов во всех версиях до 3.18.0 включительно с помощью функции импорта шаблонов.

Это позволяет аутентифицированным злоумышленникам с доступом на уровне участника и выше загружать файлы и выполнять код на сервере».

Wordfence также указывает, что патча для решения этой проблемы не существует, и рекомендует удалить Elementor.

«Нет известного патча. Пожалуйста, внимательно ознакомьтесь с подробностями уязвимости и примените меры по ее устранению с учетом толерантности вашей организации к риску. Возможно, лучше всего удалить уязвимое программное обеспечение и найти замену».

Обновление версии Elementor 3.18.1

Сегодня Elementor выпустил обновление до версии 3.18.1. Неясно, устраняет ли этот патч уязвимость, поскольку на сайте Wordfence в настоящее время указано, что уязвимость не исправлена.

Об этой уязвимости сообщили недавно, и факты могут измениться. Однако Wordfence предупреждает, что хакеры уже атакуют веб-сайты Elementor, поскольку на момент публикации объявления их платная версия уже заблокировала одиннадцать попыток взлома.










Источник: searchenginejournal.com
Изображение от <a href="https://ru.freepik.com/free-photo/side-view-of-male-hacker-with-gloves-and-laptop_8725466.htm#query=...;

Поделиться в соц. сетях

Рекомендуем прочитать

ВКонтакте запускает глобальное обновление приложения – начнется оно с ленты новостей

ВКонтакте запускает глобальное обновление приложения – начнется оно с ленты новостей

  • 15 августа 2022

Российская социальная сеть «ВКонтакте» сообщила 9 августа о глобальном обновлении приложения. Оно станет одним из самых масштабных за всю историю соцсети и затронет сразу несколько ключевых продуктов.

Читать далее