אודות המחבר Dean
שמי דין חלק מתחביביי, הם ציור, עריכת ווידיאו ובדיקות QA עבור חלק מבתי התוכנה הגדולים ביותר עבור ספקי אחסון אתרים.
חור אבטחה קריטי שהתגלה בתוסף Essential Addons for Elementor
כפי שכותרת המאמר אומר, התגלה חור אבטחה קריטי שהתגלה בתוסף Essential Addons for Elementor אשר משמש למעלה ממיליון התקנות פעילות בוורדפרס.
התוסף Essential Addons עבור Elementor (גרסאות 5.0.4 ומטה), בעל למעלה ממיליון התקנות פעילות, סובל מפגיעות קריטית שהתגלתה. פגיעות זו מאפשרת לכל משתמש, ללא קשר לסטטוס האימות או ההרשאה שלו, לבצע התקפת הכללת קבצים מקומית. ניתן להשתמש בהתקפה זו כדי לכלול קבצים מקומיים במערכת הקבצים של האתר. זה יכול לשמש גם לביצוע RCE על ידי הכללת קובץ עם קוד PHP זדוני שבדרך כלל לא ניתן להפעיל.
התוסף מתואר כתוסף שיכול לשפר את חוויית בניית הדפים ב-Elementor עם יותר מ-80 אלמנטים ותוספים יצירתיים. הוסף כוחות לבונה הדפים שלך באמצעות האלמנטים הקלים לשימוש שלנו, אלה שנועדו להפוך את עיצוב דף וורדפרס ופוסטים.
הפגיעות המתוארת תוקנה בגרסה 5.0.5, לאחר מספר תיקונים לא מספיקים על ידי מפתח התוסף.
ברצוננו להבהיר שלא אנו גילינו במקור את הפגיעות הזו. דיווח עליה גם למפתח התוסף באמצעות WPScan או בעזרתו.
פגיעות האבטחה ב-Essential Addons עבור Elementor
הפגיעות של הכללת קבצים מקומיים קיימת עקב האופן שבו נעשה שימוש בנתוני הקלט של המשתמש בתוך פונקציית include של PHP.
מה יש לעשות כדי להגן על האתר שלי?
הפגיעות המתוארת תוקנה בגרסה 5.0.5, אנו ממליצים לעדכן את התוסף בדחיפות
האם לקוחות MyHost מושפעים מכך?
בתאריך 3.2.21, אספנו מס' מקורות ברחבי הרשת על הגורם לחור אבטחה קריטי זה, ודיווחנו זאת לצוות Imunify360.
אשר חקר זאת, והקים Internal case DEFA-4687 עבור בעיה זו, וב10.2.21 הוציא עדכון לWAF בגרסה WAF Rules v.4.45 -
Added rule id: 77318040, 77318041 - IM360 WAF: LFI & RCE Essential Addons for Elementor in plugin for WordPress
Added rule id: 77318042, 77318043, 77318044 - IM360 WAF: Remote Code Execution in PHP Everywhere < 3.0.0 plugin for WordPress (CVE-2022-24663), IM360 WAF: Remote Code Execution in PHP Everywhere < 3.0.0 plugin for WordPress (CVE-2022-24664), IM360 WAF: Remote Code Execution in PHP Everywhere < 3.0.0 plugin for WordPress (CVE-2022-24665)
Updated the list of blocked malicious sources
אנחנו שמחים לסייע בתרומה להגברת האתרים המאוחסנים בשרתינו, ולמעשה לכל שרת המכיל Imunify360 כדי להגן את האתרים בשרתים שלהם מפני חור אבטחה זה.
בכל אופן אנו ממליצים ואף נדרש לבצע עדכון לתוסף על מנת למנוע חורי אבטחה מוסתרים נוספים אשר יכולים להיות קיימים בגרסאות הישנות של התוסף ולמנוע סיכון של הדבקת האתרים בוירוס או פריצה.
האם אהבתם את המאמר?
שווה לקרוא
MyHost עוזרת לImunify360 לפתור באגים
- Dean
- 1 דקות
שבת שלום לכל קהל הלקוחות שלנו,כידוע אנו בMyHost דואגים לאבטחת הלקוחות שלנו, בשרת החדש של DirectAdmin נוספה חומת אש אקטיבית + אנטי וירוס של Imunify360,אך גילינו שני באגים, אחד הוא באג עיצובי, והשני הוא באג...
תעודות SSL לשלוש שנים לא יהיו זמינים יותר לרכישה לאחר ה - 1.3.18
- Dean
- 1 דקות
תעודות SSL לשלוש שנים לא יהיו זמינים יותר לרכישה לאחר ה - 1.3.18 אם אתם מתכננים או תכננתם לרכוש תעודת SSL למשך 3 שנים, תצטרכו להזדרז! כל החברות אשר מספקות את האישורים לא ינפיקו עוד...
איך לתקן את ההודעה
- Dean
- 6 דקות
במדריך זה נדבר מה גורם לכך ואיך לתקן את ההודעה "לא מאובטח" בדפדפן ולהבין למה האתר שלי מסומן כ"לא מאובטח". במשך למעלה מעשר שנים, גוגל הובילה את המאמצים והיוזמות הרבים, כמו פרויקט הגלישה הבטוחה,...