Хакеры используют критическую уязвимость в плагине WordPress Royal Elementor
Хакеры используют критическую уязвимость в плагине WordPress Royal Elementor. Фото: СС0
Поскольку эксплуатация была обнаружена до того, как поставщик выпустил патч, хакеры использовали преимущество «нулевого дня».
Дополнения и шаблоны Royal Elementor от WP Royal — это комплект для создания веб-сайтов, который позволяет быстро создавать веб-элементы без знаний программирования. По данным WordPress.org, у ПО более 200 тыс. активных установок.
Уязвимость CVE-2023-5360 (CVSS v3.1: 9.8 «критическая»), что позволяет неаутентифицированным злоумышленникам выполнять произвольную загрузку файлов на уязвимые сайты.
Хотя плагин имеет функцию проверки расширения, позволяющую ограничить загрузку только определенными разрешенными типами файлов, неаутентифицированные пользователи могут манипулировать «разрешенным списком», чтобы обойти меры защиты.
На этом этапе загрузки файла злоумышленники потенциально могут добиться удаленного выполнения кода, что приведет к полной компрометации веб-сайта.
Дополнительные технические подробности об уязвимости не разглашаются, чтобы предотвратить широкое распространение.
Исследователи предупреждают, что обновление Royal Elementor до версии 1.3.79 не приведет к автоматическому удалению инфекций и вредоносных файлов. Веб-сайтам потребуется очистка с помощью специализированных решений.
Startpack подготовил список конструкторов сайтов — инструментов, которые помогут создать сайт, портал или простую интернет-страницу из готовых элементов самостоятельно. Создание сайтов с помощью собранных нами конструкторов преимущественно не требует знания программирования. Тем, кто владеет HTML, пригодятся соответствующие редакторы. Конструкторы представляют собой веб-сервисы. Редакторы выполнены в виде приложений. Инструменты работают во всех операционных системах.
Статьи по теме
Упомянутый сервис
38771
Комментариев пока не было