2SDnjd76ePt
Критическая уязвимость в WordPress-плагине Elementor затрагивает 500 тыс. сайтов
Разработчики плагина Elementor Website Builder для WordPress выпустили новую версию 3.6.3, в которой исправлена критическая уязвимость удаленного выполнения кода, потенциально затрагивающая 500 тыс. сайтов, сообщает SecurityLab.
Хотя для эксплуатации уязвимости требуется авторизация, она все равно является критической, поскольку проэксплуатировать ее может любой человек, авторизовавшийся на уязвимом сайте.
Злоумышленник, создавший обычную учетную запись пользователя на затронутом сайте, может поменять его название и тему и изменить его до неузнаваемости. Исследователи из Plugin Vulnerabilities считают , что проэксплуатировать уязвимость может и неавторизованный пользователь, но у них нет подтвержденного сценария.
Проблема заключается в отсутствии необходимой проверки доступа в файле плагина module.php, загружаемом по каждому запросу в процессе действия admin_init, даже для неавторизованных пользователей.
Уязвимость появилась в версии Elementor 3.6.0, выпущенной 22 марта 2022 года.
До версий плагина 3.6.x обновились 30,7% пользователей, то есть, максимальное количество уязвимых сайтов может составлять порядка 1,5 млн. 13 апреля плагин был загружен немногим более 1 млн раз. Учитывая, что загружена была последняя версия Elementor, можно предположить, что уязвимыми остаются 500 тыс. сайтов.
Специалисты Plugin Vulnerabilities также опубликовали PoC-код в качестве доказательства возможности проэксплуатировать уязвимость. Администраторам сайтов рекомендуется установить последнюю версию плагина Elementor или удалить его вовсе.
Теги:
похожие материалы
Platform V SOWA AI от СберТеха поможет бизнесу контролировать и безопасно масштабировать работу ИИ
Российский разработчик ПО СберТех объявляет о выводе на рынок решения Platform V SOWA AI, которое формирует новый уровень безопасности при работе с искусственным интеллектом.
Доверяй, но проверяй: даже если файл подписан Microsoft, доверять ему не всегда можно
В СМИ появилась информация о том, что при участии Microsoft ликвидирована киберпреступная сеть Fox Tempest.
CISO Форум 2026: итоги клубной встречи лидеров информационной безопасности
28 апреля 2026 года в Москве, в Центре международной торговли, состоялся CISO FORUM 2026 - профессиональная площадка для CISO, CIO и архитекторов ИБ, где информационная безопасность обсуждается без маркетинга, на языке реальных кейсов, инцидентов и бизнес-решений.
VPN-ограничения не обрушили аудиторию, но ударили по привычке покупать «на ходу»
Аудитория крупных российских сервисов, ограничивших доступ пользователям с включенным VPN, в апреле почти не изменилась или снизилась в пределах 5%.
Банковскую карту теперь «прикладывают» через чужой телефон
Специалисты обнаружили два новых семейства Android-вредоносов для NFC-relay-атак - DevilNFC и NFCMultiPay.
NVIDIA закрыла 13 уязвимостей в драйверах GPU - часть могла привести к выполнению кода
NVIDIA выпустила майское обновление безопасности для GPU Display Drivers, закрывающее 13 уязвимостей в драйверах для Windows и Linux.
В GitHub признали факт взлома платформы
Веб-сервис GitHub взломали, в результате чего злоумышленники получили несанкционированный доступ к внутренним репозиториям.
Минпромторг усомнился в происхождении российских процессоров
Минпромторг попросил привлекать дополнительных экспертов к проверке российских процессоров «Иртыш» компании «Трамплин Электроникс».
ИИ добрался до цепочек эксплойтов: Cloudflare показала, что изменил Mythos
Cloudflare несколько недель тестировала Claude Mythos Preview от Anthropic на собственном коде и запустила модель более чем на 50 репозиториях.
Будущие инженеры научатся решать отраслевые задачи на базе ПО «Группы Астра»
Национальный исследовательский университет «Высшая школа экономики» (НИУ ВШЭ) и АНО по развитию информационных технологий и цифровых компетенций «Астра Академия» подписали соглашение о сотрудничестве.
