В плагине Elementor была устранена уязвимость удаленного выполнения кода - «Новости мира Интернет» » Новости мира Интернет
sitename
NVIDIA приступила к производству ИИ-ускорителей GB300 / ServerNews - «Новости сети»
NVIDIA приступила к производству ИИ-ускорителей GB300 / ServerNews - «Новости сети»
 10 долгих лет: состоялся официальный запуск экзафлопсного суперкомпьютера Aurora / ServerNews - «Новости сети»
10 долгих лет: состоялся официальный запуск экзафлопсного суперкомпьютера Aurora / ServerNews - «Новости сети»
 «Больше похоже на Fallout, чем последние игры серии»: новый геймплей неофициального шутера Fallout: Bakersfield на движке Doom впечатлил фанатов - «Новости сети»
«Больше похоже на Fallout, чем последние игры серии»: новый геймплей неофициального шутера Fallout: Bakersfield на движке Doom впечатлил фанатов - «Новости сети»
 Cyberpunk 2077 протестировали на компьютерах Apple Mac с чипами от M1 до M4 - «Новости сети»
Cyberpunk 2077 протестировали на компьютерах Apple Mac с чипами от M1 до M4 - «Новости сети»
 Asus представила 31,5-дюймовый 6K-монитор ProArt Display 6K PA32QCV для профессионалов за $1299 - «Новости сети»
Asus представила 31,5-дюймовый 6K-монитор ProArt Display 6K PA32QCV для профессионалов за $1299 - «Новости сети»
 Microsoft передумала упрощать системный трей Windows 11 после негативных отзывов пользователей - «Новости сети»
Microsoft передумала упрощать системный трей Windows 11 после негативных отзывов пользователей - «Новости сети»
 Windows 11 25H2 не потерпит проблемных драйверов: Microsoft ужесточит тесты для сертификации - «Новости сети»
Windows 11 25H2 не потерпит проблемных драйверов: Microsoft ужесточит тесты для сертификации - «Новости сети»
 Возвращение к шутерам от первого лица: Ubisoft подтвердила разработку новой Ghost Recon - «Новости сети»
Возвращение к шутерам от первого лица: Ubisoft подтвердила разработку новой Ghost Recon - «Новости сети»
 В Mercedes-Benz создали самый мощный в мире 13-килограммовый электродвигатель - «Новости сети»
В Mercedes-Benz создали самый мощный в мире 13-килограммовый электродвигатель - «Новости сети»
 Bo Turbo — электросамокат с максимальной скоростью 160 км/ч и запасом хода 240 км - «Новости сети»
Bo Turbo — электросамокат с максимальной скоростью 160 км/ч и запасом хода 240 км - «Новости сети»
Новости мира Интернет » Новости » В плагине Elementor была устранена уязвимость удаленного выполнения кода - «Новости мира Интернет»

✔В плагине Elementor была устранена уязвимость удаленного выполнения кода - «Новости мира Интернет»

15 апреля 2022 461 Новости 0

Команда Wordfence опубликовала отчет по найденной уязвимости в WordPress-плагине Elementor, которую разработчики уже устранили. Ошибка позволяла удаленно выполнять код на сайте.



Как оказалось, уязвимость была связана с так называемой проверкой возможностей, когда система контролирует уровень доступа каждого пользователя сайта. Иными словами, подписчик сможет только комментировать статьи, но не увидит инструментов для редактирования текста в них.



Когда плагин запускает код, он должен проверить, есть ли у пользователя достаточные возможности для выполнения этого кода. В плагине Elementor (начиная с версии 3.6.0) появился новый модуль – Onboarding module, который не включал подобную проверку возможностей. Это и позволяло любым пользователям выполнять произвольный РНР-код на сайте.



Исправленная версия плагина вышла под номером 3.6.3, однако издание Search Engine Journal рекомендует обновить Elementor до версии 3.6.4, которая опубликована позже на день и включает еще одно исправление в политике безопасности.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Команда Wordfence опубликовала отчет по найденной уязвимости в WordPress-плагине Elementor, которую разработчики уже устранили. Ошибка позволяла удаленно выполнять код на сайте. Как оказалось, уязвимость была связана с так называемой проверкой возможностей, когда система контролирует уровень доступа каждого пользователя сайта. Иными словами, подписчик сможет только комментировать статьи, но не увидит инструментов для редактирования текста в них. Когда плагин запускает код, он должен проверить, есть ли у пользователя достаточные возможности для выполнения этого кода. В плагине Elementor (начиная с версии 3.6.0) появился новый модуль – Onboarding module, который не включал подобную проверку возможностей. Это и позволяло любым пользователям выполнять произвольный РНР-код на сайте. Исправленная версия плагина вышла под номером 3.6.3, однако издание Search Engine Journal рекомендует обновить Elementor до версии 3.6.4, которая опубликована позже на день и включает еще одно исправление в политике безопасности.
Новости мира Интернет, Плагины, CMS, WordPress
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация