Kritická chyba ve WordPress rozšíření pro Elementator

Kritická chyba ve WordPress rozšíření pro Elementator

Pro nejrozšířenější redakční systém WordPress byl opět dostupný plugin s velmi závažnou zranitelností RCE (remote code execution). Tento plugin používá přes jeden milion uživatelů, přibližně 600.000 z nich ještě neprovedlo aktualizaci na poslední bezpečnou verzi.

zdroj: https://stock.adobe.com/

Závažná bezpečnostní chyba se týká pluginu Essentials Addons for Elementator, který je rozšířením pro nejpoužívanější pagebuilder Elementator. Postižené jsou všechny verze starší než 5.0.5. Pokud jste tak ještě neudělali, aktualizujte tento plugin ihned.

Technický popis chyby

Na chybu přišla technologická společnost Patchstack. Predispozicí pro tento útok jsou povolené widgety „dynamická galerie“ a „galerie produktů“.

Následně je útočník schopen jednoduchým zavoláním GET nebo POST požadavku na server načíst lokálně uložený soubor (i PHP) na serveru.

Zdroj: Patchstack

Dvě neúspěšné opravy chyby

Zajímavostí na této objevené zranitelnosti je to, že autoři pluginu vydali dvě opravné verze, které přesto stejnou chybu nadále obsahovaly. Finální oprava se povedla až 28. ledna ve verzi 5.0.5.

Doporučení

Běžné doporučení o neinstalování neznámých pluginů by vám tentokrát nepomohlo, neboť tento plugin měl přes milion instalací. To by člověk očekával, že takovou kritickou chybu obsahovat nebude.

Přesto vám doporučuji k přečtení můj článek o základních tipech pro zabezpečení WordPressu, které většinu běžných útoků minimálně znatelně ztíží.

Základní tipy pro zabezpečení WordPressu

Mějte WordPress v bezpečí u CZECHIA.com

Profesionální poskytovatel webhostingových služeb CZECHIA.com vám zřídí webhosting WordPressu na serveru s operačním systémem Linux, podporou nejnovější verze PHP a automaticky předinstalovaným redakčním systémem WordPress.

Navíc získáte předinstalovaný SSL certifikát  od SSLmarket.cz, pravidelné zálohy webhostingu a možnost návratu k předchozí verzi a automatickou aktualizaci jádra WordPress. Samozřejmostí je nápomoc při nastavení přesměrování požadavků na https a také základní zabezpečení administrace – GeoIP modul.

Žádný příspěvek v diskuzi

Odpovědět