В продуктах Elegant Themes найдена критическая уязвимость

Elegant Themes прошлой ночью уведомили всех своих клиентов по email о том, что в широкой линейке их продуктов найдена критическая уязвимость.

elegantthemes

«Уязвимость была найдена в Divi Builder (который включен в наши темы Divi и Extra, а также в наш плагин Divi Builder), что вылилось в потенциальную возможность расширения пользовательских полномочий. При должном использовании уязвимость позволяла зарегистрированным пользователям вне зависимости от их роли выполнять некоторые действия в вашей сборке WordPress в пределах Divi Builder, включая возможность управления записями»

В дополнение к Divi Builder, уязвимость была также найдена в темах Divi, Extra, and Divi 2.3 (старая тема), а также в плагинах Boom и Monarch. Уязвимость была конфиденциально раскрыта и быстро исправлена Elegant Themes с помощью сторонней компании по обеспечению безопасности. Известных попыток эксплуатации уязвимости не зафиксировано.

Обновление тем и плагинов позволяет исправить уязвимость, однако патчи были созданы только для самых последних версий. Клиенты, пользующиеся старыми версиями тем, теперь имеют специальный патч, который позволяет устранить уязвимость без добавления новой функциональности. Клиентам, которые не готовы обновиться, рекомендовано отключить возможность регистрации на своих сайтах, поскольку вместе с непроверенными пользователями растет и риск расширения полномочий. Elegant Themes также рекомендуют установить плагин Security Patcher и использовать CloudProxy WAF от Sucuri, который фактически и исправил эту уязвимость.

На 2015 год компания Elegant Themes насчитывала более 300,000 клиентов. Учитывая значимость уязвимости, компания также сделала обновления доступными бесплатно для всех аккаунтов с истекшим сроком действия через свой плагин обновления. Клиенты, которые забыли свои учетные данные, могут связаться с Elegant Themes, чтобы получить последние версии тем и плагинов.

Источник: wptavern.com

Сохранено из oddstyle.ru

Добавить комментарий

%d такие блоггеры, как: