Виправлені вразливості в плагіні Redux Framework

Фреймворк Редукс

Експерти Wordfence опублікували звіт про дві вразливості, виявлені в плагіні Redux Framework. Останнім часом цей плагін більш відомий як “Бібліотека шаблонів Гутенберга» на WordPress.org. Extendify придбала його у Dōvy Paukstys в листопаді 2020 року без публічного розкриття. Плагін в даний час активний на 1 мільйоні сайтів. WordPress.

Протягом більшої частини своєї історії Redux був відомий як популярна структура для тем і плагінів. У 2020 році Dovi перезапустила фреймворк з акцентом на шаблони Гутенберга. Тепер користувачі можуть вибрати один зі 1000 шаблонів у редакторі блоків.

Саме ця функціональність перегляду та вибору шаблонів виявилася вразливою, як зазначено в недавньому звіті Wordfence – через недостатню перевірку прав доступу в кінцевих точках WP REST API, які плагін використовує для обробки запитів у своїй бібліотеці шаблонів. 3 серпня фахівці Wordfence розкрили власникам плагіна інформацію про дві вразливості.

У доповіді наголошується на характері виявлених загроз:

Перша вразливість дозволила користувачам з більш низькими правами доступу, таким як учасник, встановлювати і активувати довільні плагіни і видаляти будь-які пости і сторінки за допомогою REST API. Друга вразливість дозволила недоторканим користувачам отримати доступ до конфіденційної інформації про конфігурацію сайту.

Фахівці Extendify негайно відреагували на уразливості і випустили виправлену версію Redux Framework 4.2.13. На момент публікації більше 70% сайтів з Redux Framework працювали на старих версіях, які залишаються вразливими. Користувачам рекомендується оновитися до останньої версії, щоб закрити дірки в безпеці.

Прокоментувати

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *