Реклама ООО Таймвэб
Реклама ООО Таймвэб
Реклама ООО Таймвэб

В плагине Elementor была устранена уязвимость удаленного выполнения кода

Обсудить
В плагине Elementor была устранена уязвимость удаленного выполнения кода

Команда Wordfence опубликовала отчет по найденной уязвимости в WordPress-плагине Elementor, которую разработчики уже устранили. Ошибка позволяла удаленно выполнять код на сайте.

Как оказалось, уязвимость была связана с так называемой проверкой возможностей, когда система контролирует уровень доступа каждого пользователя сайта. Иными словами, подписчик сможет только комментировать статьи, но не увидит инструментов для редактирования текста в них. 

Когда плагин запускает код, он должен проверить, есть ли у пользователя достаточные возможности для выполнения этого кода. В плагине Elementor (начиная с версии 3.6.0) появился новый модуль – Onboarding module, который не включал подобную проверку возможностей. Это и позволяло любым пользователям выполнять произвольный РНР-код на сайте. 

Исправленная версия плагина вышла под номером 3.6.3, однако издание Search Engine Journal рекомендует обновить Elementor до версии 3.6.4, которая опубликована позже на день и включает еще одно исправление в политике безопасности.

Если человек настраивает сервер, это не новость; новость – если сервер настраивает человека.
Новый подкаст от Timeweb

Комментарии

С помощью соцсетей
У меня нет аккаунта Зарегистрироваться
С помощью соцсетей
У меня уже есть аккаунт Войти
Инструкции по восстановлению пароля высланы на Ваш адрес электронной почты.
Пожалуйста, укажите email вашего аккаунта
Ваш баланс 10 ТК
1 ТК = 1 ₽
О том, как заработать и потратить Таймкарму, читайте в этой статье
Чтобы потратить Таймкарму, зарегистрируйтесь на нашем сайте