Бомба замедленного действия
Очередная беда с WordPress: около 600 тысяч сайтов затронуты критической RCE-уязвимостью в популярном плагине.
Касается проблема WordPress-сайтов, построенных на Elementor и использующих библиотеку Essential Addons версий 5.0.4 и старше. Из условий — использование модулей dynamic gallery и product gallery. На уязвимом сайте неавторизованный пользователь может выполнить любой код, загрузив на сервер PHP-файл.
Elementor — плагин для визуального конструирования сайтов. Essential Addons улучшает редактор, добавляя в него множество дополнительных элементов. Чтобы закрыть уязвимость, нужно обновиться до 5.0.5 — ранее выпущенные патчи 5.0.3 и 5.0.4 проблему полноценно не устраняют. Из 1+ миллиона сайтов, использующих плагин, пока обновилось только 380 тысяч.