Критическая уязвимость, обнаруженная недавно в популярном плагине Elementor для WordPress, позволяла пользователям загружать произвольные файлы на уязвимые сайты, а затем проводить удаленное выполнение этого кода (RCE). Называются разные цифры потенциально уязвимых WordPress-систем, но счет идет на миллионы сайтов.
По данным независимых исследователей из команды Plugin Vulnerabilities, проблема впервые появилась в коде Elementor 3.6.0, выпущенном 22 марта 2022 года. Официальная статистика WordPress гласит, что этот плагин инсталлирован на более чем 5 млн копиях WordPress. По данным исследователей, только около 30% пользователей Elementor обновились до версии 3.6.x. Последняя, безопасная версия плагина, по данным авторов самого плагина, имеет номер версии 3.6.3.
Тем не менее независимые исследователи, первыми обнаружившие уязвимость, советуют пока отключить плагин:
Основываясь только на том, что мы увидели в ходе нашей очень ограниченной проверки, мы бы рекомендовали не использовать этот плагин, пока он не пройдет более тщательную проверку безопасности и не будут точно решены все проблемы.
То, что он имеет 5+ миллионов установок и не был должным образом защищен, должно вызывать беспокойство. Это, конечно, не из-за недостатка денег у разработчика, ведь они собрали $15 миллионов в 2020 году. Все произошедшее внушает повод для беспокойства, поскольку два года назад было обнаружено, что уязвимость нулевого дня также использовалась в платной версии этого плагина.
Ситуацию ухудшают два фактора:
Elementor — это популярная платформа для создания сайтов на базе WordPress, позволяющая создателям сайтов самостоятельно делать профессиональные сайты с помощью интуитивно понятного визуального конструктора (не написав при этом ни строчки кода). У этого плагина обширное комьюнити и развитая документация, которая позволяет легко реализовывать концепцию NoCode на базе WordPress.
Сегодня мы поговорим о том, как выбрать лучшие курсы Power BI в Украине, особенно для…
В 2023 году во всех крупнейших регионах конкуренция за вакансию выросла на 5–12%. Не исключением…
Unicorn Hunter/Talent Manager Лина Калиш создала бесплатный трекер поиска работы в Notion, систематизирующий все этапы…
Edtech-стартап Mate academy принял решение отправить своих работников в десятидневный отпуск – с 25 декабря…
Служба безопасности Украины задержала в Киеве 46-летнего программиста, который за деньги устанавливал шпионские программы и…
IT-специалист Джордан Катлер создал и выложил на Github подборку разнообразных ресурсов, которые помогут достичь уровня…