- Регистрация
- 3 Апр 2006
- Сообщения
- 554
- Реакции
- 897
- Автор темы
- Модер.
- #1
Уязвимость Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 9.8) позволяет неаутентифицированному злоумышленнику достичь произвольную загрузку файлов и удаленного выполнения кода на уязвимых сайтах .
Подвержены The Royal Elementor Addons and Templates WordPress plugin до 1.3.79.
Royal Elementor Addons и Templates от WP Royal – это инструментарий для создания веб-сайтов, который позволяет быстро создавать веб-элементы без знаний программирования. Согласно WordPress.org, у плагина Для просмотра ссылки Войдиили Зарегистрируйся установок.
Несмотря на то, что в плагине есть проверка расширения для ограничения загрузок только определенными, разрешенными типами файлов, неаутентифицированный пользователь может манипулировать списком разрешенных файлов, чтобы обойти проверку. Взломщик может достичь удаленного выполнения кода (Remote Code Execution, RCE) и захватить полный контроль над сайтом. Дополнительные технические детали об уязвимости были скрыты, чтобы предотвратить широкое распространение.
Две компании, отвечающие за безопасность WordPress, Wordfence и WPScan (Automattic), пометили CVE-2023-5360 как активно эксплуатируемую с 30 августа 2023 года, при этом количество атак увеличивалось с 3 октября 2023 года.
WP Royal выпустил версию Royal Elementor Addons и Templates 1.3.79 еще 6 октября с исправлением уязвимости.
Пользователям рекомендуется все же обновиться до этой версии.
Стоит отметить, что обновление до версии 1.3.79 автоматически не удалит вредоносные файлы, поэтому потребуется очистка сайта.
Подвержены The Royal Elementor Addons and Templates WordPress plugin до 1.3.79.
Royal Elementor Addons и Templates от WP Royal – это инструментарий для создания веб-сайтов, который позволяет быстро создавать веб-элементы без знаний программирования. Согласно WordPress.org, у плагина Для просмотра ссылки Войди
Несмотря на то, что в плагине есть проверка расширения для ограничения загрузок только определенными, разрешенными типами файлов, неаутентифицированный пользователь может манипулировать списком разрешенных файлов, чтобы обойти проверку. Взломщик может достичь удаленного выполнения кода (Remote Code Execution, RCE) и захватить полный контроль над сайтом. Дополнительные технические детали об уязвимости были скрыты, чтобы предотвратить широкое распространение.
Две компании, отвечающие за безопасность WordPress, Wordfence и WPScan (Automattic), пометили CVE-2023-5360 как активно эксплуатируемую с 30 августа 2023 года, при этом количество атак увеличивалось с 3 октября 2023 года.
WP Royal выпустил версию Royal Elementor Addons и Templates 1.3.79 еще 6 октября с исправлением уязвимости.
Пользователям рекомендуется все же обновиться до этой версии.
Стоит отметить, что обновление до версии 1.3.79 автоматически не удалит вредоносные файлы, поэтому потребуется очистка сайта.