27 липня виявлено вразливість у WPBakery , плагіні для WordPress, встановленому на понад 4,3 мільйона сайтів. Зокрема на нашому WordPress хостингу близько 5% сайтів користуються цим плагіном. Ця вразливість дозволила автентифікованим зловмисникам з правами автора або вище вводити шкідливий JavaScript у публікації.
Дослідники розкрили всі подробиці авторам плагіну 29 липня 2020 року. Розробники підтвердили вразливість і повідомили, що їх команда працює над над виправленням помилок. Після тривалого періоду був випущений патч-оновлення 24 вересня 2020 року, що виправляє вразливість.
Ми рекомендуємо негайно оновити плагін до останньої версії, або до 6.4.1 чи вище. Також рекомендуємо перевірити, чи немає на вашому веб-сайті WordPress облікових записів користувачів, яким ви не довіряєте.
Конструктор сторінок WPBakery – найпопулярніший плагін конструктор для WordPress. Це дуже простий у використанні інструмент, який дозволяє власникам сайтів створювати власні сторінки за допомогою можливостей drag’n’drop (перетягування).
На жаль, плагін мав проблему в коді, яка могла надати користувачам, які працюють з правами учасників та авторів, можливість вводити шкідливий JavaScript на сторінки та публікації. Ця проблема також дала цим користувачам можливість редагувати записи інших користувачів. Плагін явно вимкнув будь-які перевірки HTML-фільтрації через kses_remove_filters()
за замовчуванням у функції saveAjaxFe
в одному з своїх файлів. Це означало, що будь-який користувач, який має доступ до конструктора WPBakery, може вводити HTML та JavaScript в будь-яке місце публікації за допомогою конструктора сторінок.
В останній версії WPBakery користувачі нижчого рівня доступу більше не мають unfiltered_html
можливостей за замовчуванням, однак адміністратори можуть надати цей дозвіл, якщо захочуть. Крім того, користувачі без відповідних привілеїв більше не можуть редагувати дописи інших користувачів, отримувати доступ до конструктора сторінок, якщо це не дозволено, або використовувати шорткоди, які можуть дозволити ін’єкцію шкідливого JavaScript.