Разработчики Essential Addons for Elementor, популярного плагина, имеющего более 1 млн активных установок, на днях исправили критическую уязвимость, которая позволяла проводить LFI (Local File Inclusion)-атаки.
LFI-атаки – это атаки, связанные с использованием и выполнением локальных файлов на стороне сервера при помощи специально сформированного запроса.
Уязвимость была обнаружена исследователем безопасности Вай Ян Мьо Тетом (Wai Yan Myo Thet) и опубликована на сайте Patchstack 25 января 2022 года. Клиенты Patchstack получили виртуальный патч в тот же день. Проблема уже была известна разработчикам плагина, WPDeveloper, которые сначала выпустили два неэффективных патча, и только потом окончательно исправили ее в релизе 5.0.5.
Компания Patchstack опубликовала краткое описание уязвимости и разъяснила, как WP-сайты, использующие плагин, могут быть скомпрометированы:
«Уязвимость позволяет любому пользователю независимо от его статуса аутентификации или авторизации выполнять LFI-атаки. Эти атаки используются для открытия локальных файлов на стороне сервера, таких как, к примеру, /etc/passwd. Уязвимость может использоваться для RCE-атак (Remote Code Execution) с выполнением файла, который содержит вредоносный PHP-код».
Важно отметить, что уязвимость в первую очередь затрагивает пользователей, которые используют виджеты динамических галерей и продуктовых галерей.
Журнал изменений плагина описывает обновление скорее как какое-то улучшение, чем исправление серьезной бреши в безопасности. В итоге далеко не все пользователи смогут понять его важность.
Все версии до 5.0.5 считаются уязвимыми. Как показывает статистика WordPress.org, примерно 54% пользователей работают со старыми версиями (до 5.0).
Может показаться, что более полумиллиона пользователей уязвимы для атак, но на практике все не так страшно, ведь им нужно еще и использовать определенные виджеты. В любом случае безопаснее будет просто обновиться.
Источник: wptavern.com