Темы перетаскивания PageLines и Platform для WordPress недавно были исправлены из-за уязвимости повышения привилегий и проблемы с удаленным выполнением кода, обнаруженной Sucuri во время обычного аудита. Sucuri классифицирует уязвимости как высокий риск с оценкой DREAD 9/10 и рекомендует пользователям обновлять свои копии тем как можно скорее.
Уязвимость повышения привилегий присутствует в обеих темах, где для изменения набора параметров используется хук WordPress AJAX. «Поскольку все хуки wp_ajax_ могут использоваться любыми вошедшими в систему пользователями (независимо от того, какие привилегии у них есть на целевом сайте), подписанный пользователь может использовать этот хук для перезаписи любых параметров, расположенных в таблице параметров базы данных WordPress», — пояснил Сукури в бюллетене . .
Это позволяет злоумышленнику предоставить всем новым пользователям роль администратора. Однако, чтобы такая атака была успешной, сайт пользователя должен быть открыт для регистрации.
Бесплатные версии этих тем были загружены с WordPress.org более полумиллиона раз каждая, поэтому, вероятно, могут быть затронуты тысячи пользователей WordPress. К счастью, патч уже доступен. Команда WordPress Theme Review быстро работала, чтобы ускорить выпуск двух исправленных версий тем, поэтому любой, у кого они установлены, увидит уведомление об обновлении в панели администратора WordPress. Пользователи, которые приобрели коммерческие версии, также увидят доступное обновление.
Если вы в настоящее время не можете или не хотите обновляться, доступен плагин, который блокирует эксплойты для устаревших тем. Вы можете загрузить его с GitHub и установить, как и любой другой плагин, если вам нужно быстрое исправление, чтобы выиграть время для обновления.
«Чтобы уточнить, это ТОЛЬКО в устаревшей версии этих двух продуктов PageLines (Framework и Platform)», — прокомментировал рекомендацию основатель PageLines Эндрю Пауэрс. «Поскольку нам впервые сообщили об этом три дня назад, мы немедленно исправили эти файлы и обновили их на WordPress.org, GitHub и где угодно на серверах PageLines».
Пока Пауэрс ничего не знает об использовании этой проблемы. Тот факт, что опасность ограничивается сайтами с открытой регистрацией, также должен сократить количество уязвимых сайтов. Теперь, когда проблема безопасности стала общедоступной, пользователям необходимо немедленно обновить ее.
Поскольку до крайнего срока соблюдения GDPR ЕС осталось всего 178 дней , многие владельцы сайтов…
Команда Gutenberg создаст станцию тестирования удобства использования в WordCamp US, где посетители смогут принять участие…
Сегодня компания 10up опубликовала предварительную версию своего плагина Distributor , нового решения для синдикации контента…
На этой неделе был выпущен Gutenberg 1.8 с несколькими заметными улучшениями, которые предоставят разработчикам плагинов…
На этой неделе был выпущен Gutenberg 15.5 с новыми функциями и улучшениями возможностей полнофункционального редактирования…
DesktopServer выпустил версию 3.8.4 своего программного обеспечения для локальной разработки. Эта версия включает в себя…