Vážná zranitelnost pluginů Elementor Pro a Ultimate Addons for Elementor

Oblíbený plugin pro stavbu WordPress stránek a jeho rozšíření, obsahují vážnou zranitelnost, která ohrožuje velké množství webů, kde jsou instalovány.

Elementor Pro je placená verze Elementoru a je velmi oblíbená, protože umožňuje vyvářet šablony částí stránek a s jeho pomocí tak postavíte kompletní web. Ultimate Addons for Elementor je jeho rozšíření.

Elementor Pro je instalován na milionu webů a Ultimate Addons má 110 000 instalací.

Edit: byla vydána verze 2.9.4 s opravou https://elementor.com/pro/changelog/

Zranitelnost u Elementoru Pro je poměrně nová záležitost, takže na ni ještě není vydána záplata.

U Elementoru Pro se jedná o využití zero day zranitelnosti a ohroženy jsou weby, které mají povolenou registraci uživatelů. Chyba dovolí registrovaným nahrát soubor, který obsahuje spustitelný kód. Díky tomu nainstalují zadní vrátka do systému a mohou vám klidně smazat celý web.

Naproti tomu Ultimate Addons ohrožuje i weby, které povolenou registraci uživatelů nemají. Pomocí pluginu totiž vytvoří uživatele a následně jej pak využijí pro útok přes Elementor Pro.

Naštěstí, pro Ultimate Addons je již vydána verze 1.24.2, která obsahuje opravu.

Pokud chcete vaše stránky ochránit, aktualizujte okamžitě Ultimate Addons for Elementor plugin. U Elementoru Pro je jediná možnost, odstranit jej ze stránek a použít free verzi. To bohužel zapříčiní rozbití designu, ale jakmile pro verzi opět nainstalujete, vše by se mělo vrátit do normálu. Edit.: oprava je již venku Tak fix už je venku. Když jsem to psal, tak ještě nebyl. V každém případě aktualizovat – https://elementor.com/pro/changelog/

Čtěte  Sledujte činnost uživatelů pomocí Activity Log

Aktualizace je již dostupná, proto aktualizujte plugin na nejnovější verzi

V případě, že máte pocit, že je vaše stránka již napadené

  • Můžete zkontrolovat podezřelé registrace uživatelů a smazat je.
  • hledejte soubor wp-xmlrpc.php – to může být znamením, že je váš web napadený. Originální soubor nemá předponu wp-
  • smažte všechny neznámé soubory ze složky /wp-content/uploads/elementor/custom-icons/

Na zranitelnost upozornil team WordFence.com

Zdroj: https://www.wordfence.com/blog/2020/05/combined-attack-on-elementor-pro-and-ultimate-addons-for-elementor-puts-1-million-sites-at-risk/

About The Author

Zajímá mne Wordpress, responsivní šablony a zkrátka vše kolem tohoto skvělého redakčního systému.

Související články

1 Comment

  1. Pingback: Vážná zranitelnost pluginů Elementor Pro a Ultimate Addons for Elementor – WP kompas

Přidejte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Chcete mít přehled o dění ve světě WordPressu?

Přímo do vašeho emailu

Pravidelný přehled o novinkách, trendech a událostech, které se točí kolem WordPressu. Souhrn toho nejzajímavějšího od nás i ze zahraničí.