Сайты на базе WordPress находятся в опасности из-за дополнений к плагину Elementor.
Elementor – это мощное дополнение к WordPress, позволяющее без знания кода конструировать сайт, добавляя новые элементы простым перетягиванием их на нужные места страницы. Эти элементы распространяются в качестве дополнений для Elementor.
Журналисты из Wordhence сообщают, что все плагины, которые им довелось протестировать, содержат в себе найденную уязвимость (причем даже Premium-плагины за большие деньги). Некоторые разработчики обновили свои дополнения после того, как им сообщили о наличии проблемы. Многие все еще остаются под угрозой.
«Мы нашли идентичный сбой практически в каждом плагине, добавляющем на сайт с Elementor новый компонент (форму, блок и т.п.)», – добавляет Wordhence.
Найденная в Elementor ошибка при каждом посещении сайта запускает скрипт, позволяющий получить контроль над ресурсом. Для этого посетитель должен быть авторизован и иметь привилегии администратора или иметь возможность публиковать статьи в блоге. То есть вредоносный код будет внедрен в сайт при первом же посещении автора/модератора/администратора.
Некоторые дополнения (17 штук) уже получили обновление с исправлением найденной угрозы. В их числе:
- Essential Addons for Elementor,
- Elementor – Header, Footer & Blocks Template,
- ElementsKit,
- JetWidgets For Elementor,
- Sina Extension for Elementor,
- Livemesh Addons for Elementor и т.д.
Специалисты по безопасности советуют обратиться к разработчикам аддонов, чтобы те поскорее выпустили патч.
