В плагине Elementor была устранена уязвимость удаленного выполнения кода - «Новости мира Интернет» » Новости мира Интернет
sitename
YouTube приступает к показу обязательной к просмотру рекламы на телевизорах по всему миру - «Новости сети»
YouTube приступает к показу обязательной к просмотру рекламы на телевизорах по всему миру - «Новости сети»
 «Первый достойный наследник Disco Elysium»: в Steam вышла фэнтезийная ролевая игра Esoteric Ebb, вдохновлённая Planescape: Torment - «Новости сети»
«Первый достойный наследник Disco Elysium»: в Steam вышла фэнтезийная ролевая игра Esoteric Ebb, вдохновлённая Planescape: Torment - «Новости сети»
 Google представила Gemini 3.1 Flash-Lite — «самую быструю и экономически эффективную модель семейства» - «Новости сети»
Google представила Gemini 3.1 Flash-Lite — «самую быструю и экономически эффективную модель семейства» - «Новости сети»
 «Первое хорошее обновление за три года»: легендарная CS:GO вернулась в Steam к радости фанатов - «Новости сети»
«Первое хорошее обновление за три года»: легендарная CS:GO вернулась в Steam к радости фанатов - «Новости сети»
 Seagate приступила к массовым поставкам жёстких дисков семейства Mozaic 4+, обеспечивающих ёмкость до 44 Тбайт - «Новости сети»
Seagate приступила к массовым поставкам жёстких дисков семейства Mozaic 4+, обеспечивающих ёмкость до 44 Тбайт - «Новости сети»
 Perplexity запустила автономную ИИ-платформу на базе десятка нейросетей - «Новости мира Интернет»
Perplexity запустила автономную ИИ-платформу на базе десятка нейросетей - «Новости мира Интернет»
 Google анонсировала новый генератор изображений Nano Banana 2 - «Новости мира Интернет»
Google анонсировала новый генератор изображений Nano Banana 2 - «Новости мира Интернет»
 Вышло приложение Nearby Glasses для обнаружения очков с камерой в радиусе 15 метров - «Новости мира Интернет»
Вышло приложение Nearby Glasses для обнаружения очков с камерой в радиусе 15 метров - «Новости мира Интернет»
 Обновили алгоритм расчёта ИКС сайта — смотрите результаты в Яндекс Вебмастере — «Блог для вебмастеров»
Обновили алгоритм расчёта ИКС сайта — смотрите результаты в Яндекс Вебмастере — «Блог для вебмастеров»
 Google добавила режим Split View в Chrome и аннотации в PDF - «Новости мира Интернет»
Google добавила режим Split View в Chrome и аннотации в PDF - «Новости мира Интернет»
Новости мира Интернет » Новости » В плагине Elementor была устранена уязвимость удаленного выполнения кода - «Новости мира Интернет»

✔В плагине Elementor была устранена уязвимость удаленного выполнения кода - «Новости мира Интернет»

15 апреля 2022 524 Новости 0

Команда Wordfence опубликовала отчет по найденной уязвимости в WordPress-плагине Elementor, которую разработчики уже устранили. Ошибка позволяла удаленно выполнять код на сайте.



Как оказалось, уязвимость была связана с так называемой проверкой возможностей, когда система контролирует уровень доступа каждого пользователя сайта. Иными словами, подписчик сможет только комментировать статьи, но не увидит инструментов для редактирования текста в них.



Когда плагин запускает код, он должен проверить, есть ли у пользователя достаточные возможности для выполнения этого кода. В плагине Elementor (начиная с версии 3.6.0) появился новый модуль – Onboarding module, который не включал подобную проверку возможностей. Это и позволяло любым пользователям выполнять произвольный РНР-код на сайте.



Исправленная версия плагина вышла под номером 3.6.3, однако издание Search Engine Journal рекомендует обновить Elementor до версии 3.6.4, которая опубликована позже на день и включает еще одно исправление в политике безопасности.


Команда Wordfence опубликовала отчет по найденной уязвимости в WordPress-плагине Elementor, которую разработчики уже устранили. Ошибка позволяла удаленно выполнять код на сайте. Как оказалось, уязвимость была связана с так называемой проверкой возможностей, когда система контролирует уровень доступа каждого пользователя сайта. Иными словами, подписчик сможет только комментировать статьи, но не увидит инструментов для редактирования текста в них. Когда плагин запускает код, он должен проверить, есть ли у пользователя достаточные возможности для выполнения этого кода. В плагине Elementor (начиная с версии 3.6.0) появился новый модуль – Onboarding module, который не включал подобную проверку возможностей. Это и позволяло любым пользователям выполнять произвольный РНР-код на сайте. Исправленная версия плагина вышла под номером 3.6.3, однако издание Search Engine Journal рекомендует обновить Elementor до версии 3.6.4, которая опубликована позже на день и включает еще одно исправление в политике безопасности.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
Новости мира Интернет, Плагины, CMS, WordPress
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация