По данным The Hacker News, Elementor, популярный drag'n'drop-плагин для WordPress, содержит в себе уязвимость, позволяющую злоумышленникам запускать на чужих сайтах произвольный вредоносный код.
Специалисты отмечают, что взломщики могут прописать собственный JavaScript-код на сайте через соответствующий HTML-тег, оставив пост или комментарий в блоге. И это несет угрозу, потому что посты обычно проверяются администраторами или модераторами с повышенными привилегиями. Открыв пост, они непреднамеренно запустят скрипт, оставленный злоумышленником, что позволит хакерам получить полный доступ к ресурсу за счет создания нового подставного администратора или дополнительных брешей в безопасности.
Сразу несколько HTML-тегов являются потенциальной угрозой, потому что не проверяются автоматикой и позволяют «вкладывать» в себя любого рода тег <script>.
Это уже вторая по счету крупная уязвимость, обнаруженная в плагинах для WordPress за последние дни. Первую нашли в плагине WP Super Cache, который используется на двух с лишним миллионах сайтов. Она позволяет хакерам инициировать произвольный код на ресурсах с плагином и перехватывать контроль над ними.
Для обоих расширений уже выпущены обновления с необходимыми исправлениями.
Комментарии