Авторы плагина Elementor Website Builder для WordPress выпустили версию 3.6.3 для устранения критической ошибки удаленного выполнения кода, которая может затронуть до 500 000 веб-сайтов.
Хотя для использования дефекта требуется аутентификация, его критическая серьезность обусловлена тем, что воспользоваться им может любой пользователь, вошедший на уязвимый сайт, включая обычных подписчиков.
Угрожающий субъект, создав учетную запись обычного пользователя на уязвимом сайте, может изменить название и тему сайта, придав ему совершенно другой вид.
Исследователи безопасности считают, что пользователь, не вошедший в систему, также может использовать недавно исправленный недостаток в плагине Elementor, но они не подтвердили этот сценарий.
Подробности уязвимости
В опубликованном на этой неделе отчете исследователи из службы безопасности WordPress Plugin Vulnerabilities, которые обнаружили уязвимость, описывают технические детали, лежащие в основе проблемы в Elementor.
Проблема заключается в отсутствии критической проверки доступа к одному из файлов плагина, «module.php», который загружается при каждом запросе во время действия admin_init, даже для пользователей, которые не вошли в систему, объясняют исследователи.
«Обнаруженная нами RCE-уязвимость связана с функцией upload_and_install_pro(), доступной через предыдущую функцию. Эта функция устанавливает плагин WordPress, отправленный вместе с запросом»
Одна из функций, вызываемых действием admin_init, позволяет загрузить файл в виде плагина WordPress. Угрожающий агент может поместить туда вредоносный файл, чтобы добиться удаленного выполнения кода.
Исследователи утверждают, что единственным ограничением является доступ к действительному nonce. Однако они обнаружили, что соответствующий nonce присутствует в «исходном коде административных страниц WordPress, начинающемся с ‘elementorCommonConfig’, который включается при входе в систему в качестве пользователя с ролью Subscriber».
Воздействие и устранение
Согласно Plugin Vulnerabilities, проблема была введена в Elementor 3.6.0, выпущенном 22 марта 2022 года.
Статистика WordPress сообщает, что примерно 30,7% пользователей Elementor обновились до версии 3.6.x, что указывает на то, что максимальное количество потенциально затронутых сайтов составляет примерно 1 500 000.
На сегодняшний день плагин был загружен чуть более миллиона раз. Если предположить, что все они были загружены для версии 3.6.3, то должно остаться около 500 000 уязвимых сайтов.
Последняя версия включает коммит, который реализует дополнительную проверку доступа к nonce, используя функцию WordPress «current_user_can».
Хотя это должно устранить брешь в системе безопасности, исследователи еще не подтвердили исправление, а команда Elementor не опубликовала никаких подробностей об исправлении.
BleepingComputer связался с командой безопасности Elementor и обновит эту статью, как только получит ответ.
Plugin Vulnerabilities также опубликовал доказательство концепции (PoC), подтверждающее возможность эксплуатации, что увеличивает риск взлома уязвимых веб-сайтов.
Администраторам рекомендуется применить последнее доступное обновление для плагина Elementor WordPress или полностью удалить плагин с вашего сайта.
Последнее обновление 05.01.2023
