Как вебмастер, я сообщаю вам о серьезной проблеме безопасности, которую я отслеживаю в плагине SiteOrigin Page Builder для WordPress. Она затрагивает более полумиллиона веб-сайтов, и, к сожалению, это третья уязвимость, которую мы обнаружили в этом плагине только в этом году. Серьезность довольно высока – она оценивается в 8.8 из 10 по шкале CVSS, поэтому вам следует быстро решить эту проблему, если вы используете этот плагин на своем сайте.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Что делает плагин
SiteOrigin Page Builder — это инструмент для WordPress, который позволяет легко создавать собственные макеты страниц. Вы можете просто перетаскивать элементы, чтобы создавать адаптивные, колоночные дизайны, используя привычные виджеты WordPress — кодирование не требуется!
Он популярен как на коммерческих, так и на личных веб-сайтах, потому что совместим со многими дизайнами и не требует навыков программирования для использования.
Требуется доступ уровня участника.
Эта уязвимость требует, чтобы кто-то был авторизован. Злоумышленнику необходим доступ ‘Contributor’ или более высокий уровень разрешений. ‘Contributor’ — это базовая роль пользователя WordPress — эти пользователи могут писать и отправлять контент, но не могут публиковать его самостоятельно. Таким образом, хотя доступ администратора не требуется, для эксплуатации этой уязвимости необходима учетная запись.
https://www.searchenginejournal.com/wp-json/sscats/v2/tk/Middle_Post_Text
Уязвимость локального включения файлов
Плагин подвержен уязвимости Local File Inclusion во всех версиях, включая 2.33.5.
Local File Inclusion происходит, когда плагин обманом заставляет загружать файлы с сервера без достаточных проверок безопасности, что потенциально может привести к раскрытию конфиденциальной информации.
Проблема существует в функции locate_template().
Что пошло не так
Как SEO-эксперт, я выявил потенциальную проблему с безопасностью этого плагина. Он недостаточно контролирует, какие файлы могут быть доступны при использовании функции `locate_template()`. Это означает, что потенциально конфиденциальные файлы могут быть раскрыты, что является риском, которого я всегда советую клиентам избегать.
Эта функция должна загружать только одобренные шаблонные файлы.
Что могут делать атакующие
Без необходимой проверки безопасности авторизованный злоумышленник мог бы обмануть плагин и заставить его загрузить любой файл, уже присутствующий на сервере.
Если хакеру удастся загрузить файл на сервер, он потенциально может обмануть плагин и заставить его выполнить этот файл, как если бы он был частью кода веб-сайта.
Согласно официальному уведомлению Wordfence:
В плагине SiteOrigin Page Builder для WordPress (версий 2.33.5 и более ранних) существует уязвимость в системе безопасности, которая позволяет пользователям с правами участника (Contributor) или выше загружать и запускать вредоносный код на веб-сайте. Это связано со слабостью в том, как плагин обрабатывает загрузку файлов через свою функцию ‘locate_template()’, что потенциально дает злоумышленникам контроль над сервером.
Как цифровой маркетолог, я всегда внимательно отношусь к загрузке файлов. Существует уязвимость, когда, казалось бы, безвредные файлы – например, изображения – могут быть фактически использованы для эксплуатации системы. Это может позволить кому-то обойти меры безопасности, украсть конфиденциальную информацию или даже запустить вредоносный код на наших системах. Это серьезный риск, который нам необходимо устранить при приеме файлов от пользователей.
Затронутые и пропатченные версии
Была обнаружена уязвимость в безопасности в плагине Page Builder от SiteOrigins, затрагивающая версии 2.33.5 и более ранние. Эта проблема была решена с выпуском версии 2.34.0.
Рекомендуемые действия для владельцев сайтов
Как SEO-эксперт, я советую всем, кто использует плагин Page Builder by SiteOrigin: пожалуйста, обновите его до версии 2.34.0 или более поздней как можно скорее. Если вы не можете обновиться прямо сейчас, лучшее, что вы можете сделать для производительности и безопасности вашего сайта, — это временно отключить плагин до тех пор, пока не сможете это сделать.
Смотрите также
- Какой самый низкий курс евро к южноафриканскому рэнду?
- Анализ динамики цен на криптовалюту ETH: прогнозы эфириума
- Анализ динамики цен на криптовалюту TAO: прогнозы TAO
- Анализ динамики цен на криптовалюту STX: прогнозы STX
- Акции NLMK. НЛМК: прогноз акций.
2026-03-03 16:10