Уязвимость плагина WordPress подвергает риску атак полмиллиона сайтов

Уязвимость плагина WordPress подвергает риску атак полмиллиона сайтов. Фото: Pixabay

Исследователь Cbersecurity Вай Ян Муо Тет обнаружил уязвимость в плагине Essential Addons for Elementor 25 января 2022 года и в тот же день сообщил об этом Patchstack. 

WPDeveloper, владелец рассматриваемого плагина , уже знал об уязвимости и уже предпринял две безуспешные попытки исправить проблему.

Из сообщения PatchStack:

«Уязвимость включения локального файла существует из-за того, как данные ввода пользователя используются внутри функции включения PHP, которая является частью функций ajax_load_more и ajax_eael_product_gallery. Единственное, что нужно уязвимому сайту, — это включить виджеты «динамическая галерея» и «галерея продуктов»

Разработчик пытался решить проблему в версии 5.0.3 и 5.0.4, но окончательно она исправлена в версии 5.0.5. На данный момент около 400 тыс. веб-сайтов обновили плагин, а это означает, что около 600 тыс. все еще уязвимы.

Администраторы и владельцы сайтов, использующих Essential Addons для Elementor должны немедленно загрузить последнюю версию ПО.

Startpack подготовил список конструкторов сайтов — инструментов, которые помогут создать сайт, портал или простую интернет-страницу из готовых элементов самостоятельно. Создание сайтов с помощью собранных нами конструкторов преимущественно не требует знания программирования. Тем, кто владеет HTML, пригодятся соответствующие редакторы. Конструкторы представляют собой веб-сервисы. Редакторы выполнены в виде приложений. Инструменты работают во всех операционных системах.

Статьи по теме

• Обновление WordPress позволит любителям выглядеть мастерами веб-разработки.
• Надстройка WordPress и разработчик темы были скомпрометированы.
• Ошибка плагина WordPress подвергает риску атаки 20 тысяч сайтов.
• Обновление WordPress устраняет ряд серьезных уязвимостей.