Розробники Essential Addons for Elementor, популярного плагіна, що має понад 1 млн активних установок, днями виправили критичну вразливість, яка дозволяла проводити LFI (Local File Inclusion)-атаки.

LFI-атаки – це атаки, пов’язані з використанням та виконанням локальних файлів на стороні сервера за допомогою спеціально сформованого запиту.

Вразливість було виявлено дослідником безпеки Вай Ян Мьо Тетом (Wai Yan Myo Thet) та опубліковано на сайті Patchstack 25 січня 2022 року. Клієнти Patchstack отримали віртуальний патч того ж дня. Проблема вже була відома розробникам плагіна, WPDeveloper, які спочатку випустили два неефективні патчі, і лише потім остаточно виправили її в релізі 5.0.5.

Компанія Patchstack опублікувала короткий опис вразливості та роз’яснила, як WP-сайти, що використовують плагін, можуть бути скомпрометовані:

«Вразливість дозволяє будь-якому користувачеві, незалежно від його статусу автентифікації або авторизації, виконувати LFI-атаки. Ці атаки застосовуються для відкриття локальних файлів на стороні сервера, таких як, наприклад, /etc/passwd. Вразливість може використовуватися для RCE-атак (Remote Code Execution) з виконанням файлу, який містить шкідливий PHP-код».

Важливо відзначити, що вразливість в першу чергу торкається користувачів, які використовують віджети динамічних галерей та продуктових галерей.

Журнал змін плагіна описує оновлення швидше як якесь покращення, ніж виправлення серйозного пролому в безпеці. У результаті далеко не всі користувачі зможуть зрозуміти його важливість.

Усі версії до 5.0.5 вважаються вразливими. Як показує статистика WordPress.org, приблизно 54% користувачів працюють із старими версіями (до 5.0).

Може здатися, що понад півмільйона користувачів уразливі для атак, але на практиці все не так страшно, адже їм потрібно ще й використати певні віджети. У будь-якому випадку безпечніше буде просто оновитись.