В плагине Elementor была устранена уязвимость удаленного выполнения кода - «Новости мира Интернет» » Новости мира Интернет
sitename
Cronos: The New Dawn не станет следующей Dead Space или Resident Evil 4 — критики вынесли вердикт новой игре от создателей ремейка Silent Hill 2 - «Новости сети»
Cronos: The New Dawn не станет следующей Dead Space или Resident Evil 4 — критики вынесли вердикт новой игре от создателей ремейка Silent Hill 2 - «Новости сети»
 Hollow Knight: Silksong уже исправляет ошибки оригинальной игры — горячо ожидаемая метроидвания получит поддержку ультрашироких мониторов - «Новости сети»
Hollow Knight: Silksong уже исправляет ошибки оригинальной игры — горячо ожидаемая метроидвания получит поддержку ультрашироких мониторов - «Новости сети»
 Windows 11 получит долгожданное автопереключение светлой и тёмной темы — Microsoft представила PowerToys 0.94 - «Новости сети»
Windows 11 получит долгожданное автопереключение светлой и тёмной темы — Microsoft представила PowerToys 0.94 - «Новости сети»
 Буквально одно слово в решении суда спасло сделку Apple и Google на $20 млрд в год - «Новости сети»
Буквально одно слово в решении суда спасло сделку Apple и Google на $20 млрд в год - «Новости сети»
 Старые Pixel получили новый интерфейс Material 3 Expressive и свежие ИИ-функции Google - «Новости сети»
Старые Pixel получили новый интерфейс Material 3 Expressive и свежие ИИ-функции Google - «Новости сети»
 От GTX 1060 до RTX 5070: Techland опубликовала полные системные требования Dying Light: The Beast, в том числе для ноутбуков - «Новости сети»
От GTX 1060 до RTX 5070: Techland опубликовала полные системные требования Dying Light: The Beast, в том числе для ноутбуков - «Новости сети»
 «Живи. Умри. И снова»: вдохновлённый фильмом «Грань будущего» шутер Metal Eden поступил в продажу - «Новости сети»
«Живи. Умри. И снова»: вдохновлённый фильмом «Грань будущего» шутер Metal Eden поступил в продажу - «Новости сети»
 Суд разрешил Google не продавать браузер Chrome - «Новости сети»
Суд разрешил Google не продавать браузер Chrome - «Новости сети»
 AMD почти потеряла рынок дискретных видеокарт — Nvidia контролирует уже 94 % - «Новости сети»
AMD почти потеряла рынок дискретных видеокарт — Nvidia контролирует уже 94 % - «Новости сети»
 Thermalright выпустила кулер Phantom Spirit 120 Digital с цифровым дисплеем и поддержкой процессоров с TDP до 275 Вт - «Новости сети»
Thermalright выпустила кулер Phantom Spirit 120 Digital с цифровым дисплеем и поддержкой процессоров с TDP до 275 Вт - «Новости сети»
Новости мира Интернет » Новости » В плагине Elementor была устранена уязвимость удаленного выполнения кода - «Новости мира Интернет»

✔В плагине Elementor была устранена уязвимость удаленного выполнения кода - «Новости мира Интернет»

15 апреля 2022 476 Новости 0

Команда Wordfence опубликовала отчет по найденной уязвимости в WordPress-плагине Elementor, которую разработчики уже устранили. Ошибка позволяла удаленно выполнять код на сайте.



Как оказалось, уязвимость была связана с так называемой проверкой возможностей, когда система контролирует уровень доступа каждого пользователя сайта. Иными словами, подписчик сможет только комментировать статьи, но не увидит инструментов для редактирования текста в них.



Когда плагин запускает код, он должен проверить, есть ли у пользователя достаточные возможности для выполнения этого кода. В плагине Elementor (начиная с версии 3.6.0) появился новый модуль – Onboarding module, который не включал подобную проверку возможностей. Это и позволяло любым пользователям выполнять произвольный РНР-код на сайте.



Исправленная версия плагина вышла под номером 3.6.3, однако издание Search Engine Journal рекомендует обновить Elementor до версии 3.6.4, которая опубликована позже на день и включает еще одно исправление в политике безопасности.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Команда Wordfence опубликовала отчет по найденной уязвимости в WordPress-плагине Elementor, которую разработчики уже устранили. Ошибка позволяла удаленно выполнять код на сайте. Как оказалось, уязвимость была связана с так называемой проверкой возможностей, когда система контролирует уровень доступа каждого пользователя сайта. Иными словами, подписчик сможет только комментировать статьи, но не увидит инструментов для редактирования текста в них. Когда плагин запускает код, он должен проверить, есть ли у пользователя достаточные возможности для выполнения этого кода. В плагине Elementor (начиная с версии 3.6.0) появился новый модуль – Onboarding module, который не включал подобную проверку возможностей. Это и позволяло любым пользователям выполнять произвольный РНР-код на сайте. Исправленная версия плагина вышла под номером 3.6.3, однако издание Search Engine Journal рекомендует обновить Elementor до версии 3.6.4, которая опубликована позже на день и включает еще одно исправление в политике безопасности.
Новости мира Интернет, Плагины, CMS, WordPress
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация