Критична вразливість, яку виявили нещодавно в популярному плагіні Elementor для WordPress, дозволяла користувачам завантажувати довільні файли на вразливі сайти, а потім проводити віддалене виконання цього коду (RCE). Називають різні цифри потенційно вразливих WordPress-систем, але рахунок іде на мільйони сайтів.
За даними незалежних дослідників з команди Plugin Vulnerabilities, проблема вперше з’явилася в коді Elementor 3.6.0, який випустили 22 березня 2022 року. Офіційна статистика WordPress свідчить, що цей плагін встановлений на більш ніж 5 млн копій WordPress. За даними дослідників, лише приблизно 30% користувачів Elementor поновилися до версії 3.6.x. Остання безпечна версія плагіну, за даними авторів самого плагіну, має номер версії 3.6.3.
Проте незалежні дослідники, які першими виявили вразливість, радять поки що відключити плагін:
Ґрунтуючись лише на тому, що ми побачили в ході нашої дуже обмеженої перевірки, ми рекомендували б не використовувати цей плагін, поки він не пройде ретельнішу перевірку безпеки і не будуть точно вирішені всі проблеми.
Те, що він має 5+ мільйонів завантажень і не був належним чином захищений, має викликати занепокоєння. Це, звичайно, не через брак грошей у розробника, адже вони зібрали $15 мільйонів у 2020 році. Усе, що сталося, вселяє привід для занепокоєння, оскільки два роки тому виявили, що вразливість нульового дня також використовувалася в платній версії цього плагіну.
Ситуацію погіршують два фактори:
Elementor — це популярна платформа для створення сайтів на базі WordPress, що дозволяє творцям сайтів самостійно робити професійні сайти з допомогою інтуїтивно зрозумілого візуального конструктора (не написавши при цьому жодного рядка коду). Цей плагін має велике ком’юніті та розвинену документацію, яка дозволяє легко реалізовувати концепцію NoCode на базі WordPress.
Корпорація Microsoft оголосила про підтримку української мови у Copilot для Microsoft 365. Українська мова входить…
В квітні на ринку праці збільшилася кількість вакансій для IT-фахівців. На DOU та Djinni спостерігались…
Китайський стартап SpacemiT представив MuseBook — ноутбук на базі восьмиядерного процесора K1 RISC-V, орієнтований на…
Учасники Brave1, українська команда MATHESIS, розробила для органів держбезпеки платформу HARVESTER на основі штучного інтелекту.…
Волинський програміст криптовалютного стартапу DeFi намагався виїхати з України за італійським паспортом. Але спроба не…
Міністерство оборони запустило онлайн-калькулятор грошового забезпечення військовослужбовців ЗСУ. Про це Міноборони повідомило в соціальній мережі…