В плагине Elementor была устранена уязвимость удаленного выполнения кода - «Новости мира Интернет» » Новости мира Интернет
sitename
YADRO выпустила отечественные серверы Vegman R220 G3 на базе Intel Xeon Emerald Rapids - «Новости сети»
YADRO выпустила отечественные серверы Vegman R220 G3 на базе Intel Xeon Emerald Rapids - «Новости сети»
 FP64 у вас ненастоящий: AMD сомневается в эффективности эмуляции научных расчётов на тензорных ядрах NVIDIA - «Новости сети»
FP64 у вас ненастоящий: AMD сомневается в эффективности эмуляции научных расчётов на тензорных ядрах NVIDIA - «Новости сети»
 В Австралии создали электродвигатель без катушек и магнитов — его вращает капля жидкого металла - «Новости сети»
В Австралии создали электродвигатель без катушек и магнитов — его вращает капля жидкого металла - «Новости сети»
 Свежее обновление Windows 11 уронило производительность видеокарт Nvidia GeForce - «Новости сети»
Свежее обновление Windows 11 уронило производительность видеокарт Nvidia GeForce - «Новости сети»
 Micron купила завод PSMC за $1,8 млрд — всё оборудование «выбросят» ради выпуска HBM - «Новости сети»
Micron купила завод PSMC за $1,8 млрд — всё оборудование «выбросят» ради выпуска HBM - «Новости сети»
 Около 1000 человекоподобных роботов Optimus уже трудятся на заводах Tesla - «Новости сети»
Около 1000 человекоподобных роботов Optimus уже трудятся на заводах Tesla - «Новости сети»
 Micron запустила строительство мегафабрики памяти в Нью-Йорке за $100 млрд — проекта ждали с 2022 года - «Новости сети»
Micron запустила строительство мегафабрики памяти в Нью-Йорке за $100 млрд — проекта ждали с 2022 года - «Новости сети»
 Бывший глава разработки Tesla Optimus теперь будет строить роботов в Boston Dynamics - «Новости сети»
Бывший глава разработки Tesla Optimus теперь будет строить роботов в Boston Dynamics - «Новости сети»
 Что показали на CES 2026. Часть 1 - «Новости мира Интернет»
Что показали на CES 2026. Часть 1 - «Новости мира Интернет»
 NVIDIA анонсировала официальный запуск GeForce NOW на Linux - «Новости мира Интернет»
NVIDIA анонсировала официальный запуск GeForce NOW на Linux - «Новости мира Интернет»
Новости мира Интернет » Новости » В плагине Elementor была устранена уязвимость удаленного выполнения кода - «Новости мира Интернет»

✔В плагине Elementor была устранена уязвимость удаленного выполнения кода - «Новости мира Интернет»

15 апреля 2022 521 Новости 0

Команда Wordfence опубликовала отчет по найденной уязвимости в WordPress-плагине Elementor, которую разработчики уже устранили. Ошибка позволяла удаленно выполнять код на сайте.



Как оказалось, уязвимость была связана с так называемой проверкой возможностей, когда система контролирует уровень доступа каждого пользователя сайта. Иными словами, подписчик сможет только комментировать статьи, но не увидит инструментов для редактирования текста в них.



Когда плагин запускает код, он должен проверить, есть ли у пользователя достаточные возможности для выполнения этого кода. В плагине Elementor (начиная с версии 3.6.0) появился новый модуль – Onboarding module, который не включал подобную проверку возможностей. Это и позволяло любым пользователям выполнять произвольный РНР-код на сайте.



Исправленная версия плагина вышла под номером 3.6.3, однако издание Search Engine Journal рекомендует обновить Elementor до версии 3.6.4, которая опубликована позже на день и включает еще одно исправление в политике безопасности.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Команда Wordfence опубликовала отчет по найденной уязвимости в WordPress-плагине Elementor, которую разработчики уже устранили. Ошибка позволяла удаленно выполнять код на сайте. Как оказалось, уязвимость была связана с так называемой проверкой возможностей, когда система контролирует уровень доступа каждого пользователя сайта. Иными словами, подписчик сможет только комментировать статьи, но не увидит инструментов для редактирования текста в них. Когда плагин запускает код, он должен проверить, есть ли у пользователя достаточные возможности для выполнения этого кода. В плагине Elementor (начиная с версии 3.6.0) появился новый модуль – Onboarding module, который не включал подобную проверку возможностей. Это и позволяло любым пользователям выполнять произвольный РНР-код на сайте. Исправленная версия плагина вышла под номером 3.6.3, однако издание Search Engine Journal рекомендует обновить Elementor до версии 3.6.4, которая опубликована позже на день и включает еще одно исправление в политике безопасности.
Новости мира Интернет, Плагины, CMS, WordPress
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация