Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
04.04.2023

13 миллионов веб-сайтов в опасности из-за критической уязвимости Elementor Pro

Неизвестные злоумышленники активно используют недавно исправленную уязвимость системы безопасности в плагине Elementor Pro, предназначенного для конструктора веб-сайтов WordPress .

Elementor Pro — это платный плагин для WordPress, который предоставляет возможность быстро и просто создавать красивые веб-страницы. Плагин обладает визуальным редактором и содержит множество готовых блоков и шаблонов, которые можно использовать в своих проектах.

Уязвимость, описанная как «нарушение контроля доступа», затрагивает версии плагина 3.11.6 и более ранние. Проблема была устранена в версии плагина 3.11.7, выпущенной 22 марта. Согласно информации с официального сайта Elementor , плагин используется более чем на 13 миллионах веб-сайтов по всему миру.

Уязвимость Elementor Pro в сочетании с плагином WooCommerce , запущенным на сайте, позволяет любому аутентифицированному пользователю (например, подписчику или рядовому клиенту) обновлять любые настройки WordPress на сайте. Махинации производятся с помощью AJAX-действия Elementor Pro, которое не имеет надлежащего контроля привилегий.

Уязвимость позволяет потенциальному злоумышленнику включить страницу регистрации (если она была отключена) и установить роль пользователя по умолчанию на администратора. Это даёт возможность хакеру создать учётную запись, которая мгновенно получит права администратора. После чего злоумышленник может перенаправить скомпрометированный сайт на вредоносный домен или загрузить на него зловредный плагин или бэкдор.

Компания Patchstack , публично рассказавшая об уязвимости, также отметила, что в настоящее время уязвимость активно эксплуатируется злоумышленниками. Поэтому пользователям плагина Elementor Pro рекомендуется как можно скорее обновиться до версии 3.11.7 и выше, чтобы минимизировать потенциальные риски.

На прошлой неделе WordPress также запустил автоматические обновления для исправления другой критической ошибки , затрагивающей плагин WooCommerce. Уязвимость позволяла неавторизованным злоумышленникам получить административный доступ к сайтам с устаревшей версией плагина.