27 липня виявлено вразливість у WPBakery , плагіні для WordPress, встановленому на понад 4,3 мільйона сайтів. Зокрема на нашому WordPress хостингу близько 5% сайтів користуються цим плагіном. Ця вразливість дозволила автентифікованим зловмисникам з правами автора або вище вводити шкідливий JavaScript у публікації.
Дослідники розкрили всі подробиці авторам плагіну 29 липня 2020 року. Розробники підтвердили вразливість і повідомили, що їх команда працює над над виправленням помилок. Після тривалого періоду був випущений патч-оновлення 24 вересня 2020 року, що виправляє вразливість.
Ми рекомендуємо негайно оновити плагін до останньої версії, або до 6.4.1 чи вище. Також рекомендуємо перевірити, чи немає на вашому веб-сайті WordPress облікових записів користувачів, яким ви не довіряєте.
Конструктор сторінок WPBakery – найпопулярніший плагін конструктор для WordPress. Це дуже простий у використанні інструмент, який дозволяє власникам сайтів створювати власні сторінки за допомогою можливостей drag’n’drop (перетягування).
На жаль, плагін мав проблему в коді, яка могла надати користувачам, які працюють з правами учасників та авторів, можливість вводити шкідливий JavaScript на сторінки та публікації. Ця проблема також дала цим користувачам можливість редагувати записи інших користувачів. Плагін явно вимкнув будь-які перевірки HTML-фільтрації через kses_remove_filters() за замовчуванням у функції saveAjaxFe в одному з своїх файлів. Це означало, що будь-який користувач, який має доступ до конструктора WPBakery, може вводити HTML та JavaScript в будь-яке місце публікації за допомогою конструктора сторінок.
В останній версії WPBakery користувачі нижчого рівня доступу більше не мають unfiltered_html можливостей за замовчуванням, однак адміністратори можуть надати цей дозвіл, якщо захочуть. Крім того, користувачі без відповідних привілеїв більше не можуть редагувати дописи інших користувачів, отримувати доступ до конструктора сторінок, якщо це не дозволено, або використовувати шорткоди, які можуть дозволити ін’єкцію шкідливого JavaScript.
Ще цікаве:
Зміна вартості тарифів
З 20 березня буде оновлено більшість цін на послуги в сторону підвищення на 10-15%. Усі послуги, що використовують тарифи, які діяли до березня 2024 року, поступово будуть переведені на актуальні тарифи, тобто зміниться їх вартість та збільшаться ресурси, що надано в тарифах (зокрема квота оперативної пам’яті, процесорного ресурсу та інші), аби відповідати стану ринку та потребам клієнтів. Дані зміни пов’язані […]
Детальніше
Знижка на реєстрацію домену .com
Кращий домен для вашого вебсайту – це .com І сьогодні ви можете зареєструвати зі знижкою 17% з промокодом COM17 за посиланням https://wphost.me/domains/ Додаткова інформація про домен: Акційна вартість діє на перший рік реєстрації, подовження домену вже відбуватиметься за стандартною актуальною на дату подовження ціною.
Детальніше