Wordfence опубликовал две уязвимости, которые затрагивают пользователей плагина Redux Framework, который в последнее время стал известен как « Библиотека шаблонов Гутенберга и Redux Framework » на WordPress.org. Extendify приобрела плагин у своего создателя, Dōvy Paukstys, в ноябре 2020 года по сделке, которая не получила широкой огласки. В настоящее время он активен на более чем 1 миллионе сайтов WordPress.
На протяжении большей части своей истории Redux был известен как популярный фреймворк для тем и плагинов. В 2020 году Паукстис перезапустил фреймворк с упором на шаблоны Гутенберга. Теперь пользователи могут просматривать более 1000 шаблонов внутри редактора блоков.
Именно эта новая функция просмотра шаблонов оказалась уязвимой в недавнем отчете о безопасности Wordfence из-за слабой проверки разрешений на конечных точках WP REST API, которые плагин использует для обработки запросов в своей библиотеке шаблонов. 3 августа 2021 года Wordfence раскрыл владельцам плагина одну уязвимость высокой степени серьезности, описанную как «Неправильная авторизация, ведущая к произвольной установке плагина и его последующему удалению », и уязвимость более низкой степени серьезности «Раскрытие конфиденциальной информации без проверки подлинности ». В отчете, опубликованном на этой неделе, описывается характер угрозы:
Одна уязвимость позволяла пользователям с более низкими разрешениями, таким как участники, устанавливать и активировать произвольные плагины и удалять любую публикацию или страницу через REST API. Вторая уязвимость позволяла злоумышленникам, не прошедшим проверку подлинности, получить доступ к потенциально конфиденциальной информации о конфигурации сайта.
Extendify немедленно отреагировал и отправил исправленную версию ( 4.2.13) Redux Framework 11 августа 2021 года. На момент публикации более 71% сайтов, использующих плагин Redux Framework, работают на более старых версиях, которые остаются уязвимыми. Пользователям рекомендуется обновиться до последней версии, чтобы получить исправление безопасности, особенно теперь, когда Wordfence опубликовал статью, показывающую, как злоумышленники могут потенциально использовать эти уязвимости.
Поскольку до крайнего срока соблюдения GDPR ЕС осталось всего 178 дней , многие владельцы сайтов…
Команда Gutenberg создаст станцию тестирования удобства использования в WordCamp US, где посетители смогут принять участие…
Сегодня компания 10up опубликовала предварительную версию своего плагина Distributor , нового решения для синдикации контента…
На этой неделе был выпущен Gutenberg 1.8 с несколькими заметными улучшениями, которые предоставят разработчикам плагинов…
На этой неделе был выпущен Gutenberg 15.5 с новыми функциями и улучшениями возможностей полнофункционального редактирования…
DesktopServer выпустил версию 3.8.4 своего программного обеспечения для локальной разработки. Эта версия включает в себя…