Вчера вечером компания Elegant Themes разослала своим клиентам электронное письмо с сообщением о критической уязвимости в системе безопасности, затрагивающей большой сегмент продуктовой линейки.
В Divi Builder (включенном в наши темы Divi и Extra, а также в наш плагин Divi Builder) была обнаружена уязвимость раскрытия информации, что привело к возможности повышения привилегий пользователя. При правильном использовании он может позволить зарегистрированным пользователям, независимо от роли, в вашей установке WordPress выполнять подмножество действий в Divi Builder, включая возможность манипулировать сообщениями.
Помимо Divi Builder, уязвимость также была обнаружена в темах Divi, Extra и Divi 2.3 (legacy), а также в плагинах Boom и Monarch. Элегантные темы сообщили об этом в частном порядке и оперативно исправили с помощью стороннего поставщика средств защиты. Не было предпринято никаких известных попыток эксплойта.
Обновление тем и плагинов исправит уязвимость, но патчи созданы только для самых последних версий. У клиентов устаревшей темы теперь есть возможность обновления, включая версию, которая не добавляет новых функций. Клиентам, которые не готовы к обновлению, рекомендуется отключить регистрацию на своих сайтах, так как ненадежные пользователи увеличивают вероятность повышения привилегий. Elegant Themes также рекомендует установить свой плагин Security Patcher и использовать CloudProxy WAF от Sucuri, который практически исправил уязвимость.
По состоянию на 2015 год у Elegant Themes более 300 000 клиентов. Учитывая серьезность уязвимости, компания также делает обновления доступными бесплатно для всех учетных записей с истекшим сроком действия через свой плагин обновления. Клиенты, которые забыли свои учетные данные для входа, могут связаться с Elegant Themes, чтобы получить последние версии тем и плагинов.