В популярном плагине для настройки WordPress-сайтов WP Bakery Page Builder нашли уязвимость, из-за которой 4 миллиона сайтов и их пользователей оказались в опасности.
Хакеры могут воспользоваться «брешью» в безопасности дополнения, чтобы внедрить на незащищенный сайт вредоносный JavaScript-код. С помощью него злоумышленники смогут незаметно атаковать пользователей, которые заходят на страницы с WP Bakery Page Builder.
Единственное, что защищает браузеры людей от массовых атак — специфика уязвимости. Чтобы реализовать ее потенциал, необходимо получить права автора в панели управления WordPress. Для этого нужно знать логин и пароль пользователя с соответствующими правами.
Заполучив их, злоумышленник сможет редактировать посты любого пользователя, менять код страниц, встраивать в различные элементы (включая кнопки) скрипты для атаки на посетителей ресурса.
По данным Wordfence, уязвимость обнаружили в июле 2020 года. С тех пор разработчики WP Bakery Page Builder выпустили несколько патчей, которые поочередно закрыли каждую из обнаруженных «дыр». При этом ни в одном из описаний к обновлениям не было указано, что оно устраняет серьезные ошибки. Для пользователей они выглядят так, будто несут лишь мелкие изменения и улучшения. Из-за этого некоторые веб-мастера могут отказаться от обновления или отложить его на длительный срок, а это опять же дополнительная угроза для аудитории сайта.
WP Bakery Page Builder часто включен в темы для WordPress. Поэтому всем вебмастерам стоит проверить, не установлен ли этот плагин. И если установлен, то необходимо обновить его до версии 6.4.1.
Комментарии