אודות המחבר Dean
שמי דין חלק מתחביביי, הם ציור, עריכת ווידיאו ובדיקות QA עבור חלק מבתי התוכנה הגדולים ביותר עבור ספקי אחסון אתרים.
חור אבטחה קריטי שהתגלה בתוסף Essential Addons for Elementor
כפי שכותרת המאמר אומר, התגלה חור אבטחה קריטי שהתגלה בתוסף Essential Addons for Elementor אשר משמש למעלה ממיליון התקנות פעילות בוורדפרס.
התוסף Essential Addons עבור Elementor (גרסאות 5.0.4 ומטה), בעל למעלה ממיליון התקנות פעילות, סובל מפגיעות קריטית שהתגלתה. פגיעות זו מאפשרת לכל משתמש, ללא קשר לסטטוס האימות או ההרשאה שלו, לבצע התקפת הכללת קבצים מקומית. ניתן להשתמש בהתקפה זו כדי לכלול קבצים מקומיים במערכת הקבצים של האתר. זה יכול לשמש גם לביצוע RCE על ידי הכללת קובץ עם קוד PHP זדוני שבדרך כלל לא ניתן להפעיל.
התוסף מתואר כתוסף שיכול לשפר את חוויית בניית הדפים ב-Elementor עם יותר מ-80 אלמנטים ותוספים יצירתיים. הוסף כוחות לבונה הדפים שלך באמצעות האלמנטים הקלים לשימוש שלנו, אלה שנועדו להפוך את עיצוב דף וורדפרס ופוסטים.
הפגיעות המתוארת תוקנה בגרסה 5.0.5, לאחר מספר תיקונים לא מספיקים על ידי מפתח התוסף.
ברצוננו להבהיר שלא אנו גילינו במקור את הפגיעות הזו. דיווח עליה גם למפתח התוסף באמצעות WPScan או בעזרתו.
פגיעות האבטחה ב-Essential Addons עבור Elementor
הפגיעות של הכללת קבצים מקומיים קיימת עקב האופן שבו נעשה שימוש בנתוני הקלט של המשתמש בתוך פונקציית include של PHP.
מה יש לעשות כדי להגן על האתר שלי?
הפגיעות המתוארת תוקנה בגרסה 5.0.5, אנו ממליצים לעדכן את התוסף בדחיפות
האם לקוחות MyHost מושפעים מכך?
בתאריך 3.2.21, אספנו מס' מקורות ברחבי הרשת על הגורם לחור אבטחה קריטי זה, ודיווחנו זאת לצוות Imunify360.
אשר חקר זאת, והקים Internal case DEFA-4687 עבור בעיה זו, וב10.2.21 הוציא עדכון לWAF בגרסה WAF Rules v.4.45 -
Added rule id: 77318040, 77318041 - IM360 WAF: LFI & RCE Essential Addons for Elementor in plugin for WordPress
Added rule id: 77318042, 77318043, 77318044 - IM360 WAF: Remote Code Execution in PHP Everywhere < 3.0.0 plugin for WordPress (CVE-2022-24663), IM360 WAF: Remote Code Execution in PHP Everywhere < 3.0.0 plugin for WordPress (CVE-2022-24664), IM360 WAF: Remote Code Execution in PHP Everywhere < 3.0.0 plugin for WordPress (CVE-2022-24665)
Updated the list of blocked malicious sources
אנחנו שמחים לסייע בתרומה להגברת האתרים המאוחסנים בשרתינו, ולמעשה לכל שרת המכיל Imunify360 כדי להגן את האתרים בשרתים שלהם מפני חור אבטחה זה.
בכל אופן אנו ממליצים ואף נדרש לבצע עדכון לתוסף על מנת למנוע חורי אבטחה מוסתרים נוספים אשר יכולים להיות קיימים בגרסאות הישנות של התוסף ולמנוע סיכון של הדבקת האתרים בוירוס או פריצה.
האם אהבתם את המאמר?
שווה לקרוא
MyHost עזרה לImunify360 בזיהוי בעיה בעדכון האחרון
- Dean
- 2 דקות
היי לכלל קהל הלקוחות שלנו! אנשים שקצת מתמצאים בתחום ההוסטינג יודעים מהו Imunify360 עבור סביבת אחסון אתרים שיתופית שהיא בגדר חובה היום! כחומת אש ואנטי וירוס אקטיבי השומר על איכות ומהירות השרת.אנו...
חור אבטחה קריטי התגלה בווקומרס - כל מה שצריך לדעת
- Dean
- 2 דקות
ב- 13 ביולי 2021 זוהה חור אבטחה קריטי הנוגעת לתוסף ווקומרס(WooCommerce) בוורדפרס ול- ווקומרס בלוקס(WooCommerce Blocks), ונחשפה באחריות על ידי חוקר האבטחה באמצעות תוכנית האבטחה HackerOne של ווקומרס/אוטומאטיק.מידע...
Let's Encrypt Wildcard SSL עכשיו גם בIspManager!
- Dean
- 1 דקות
Let's Encrypt Wildcard SSL עכשיו גם בIspManager! העדכון הגיע גם לפאנל ה- IspManager שלנו, ומהיום ניתן להנפיק תעודות SSL Wildcard של Let's Encrypt גם בפאנל האחסון של IspManager לאחר העדכון של IspManager לגרסה 5.148 לקוחותינו יהנו בתמיכה ב - Let's Encrypt W