Уязвимости в двух темах WordPress ThemeForest, продано более 500 тысяч штук

Уязвимости в двух темах WordPress ThemeForest, продано более 500 тысяч штук

Как опытный специалист по цифровому маркетингу с более чем десятилетним опытом работы за плечами, я видел свою долю уязвимостей безопасности, и эта недавняя уязвимость, связанная с двумя популярными темами WordPress, проданными на ThemeForest, вызывает весьма беспокойство. В прошлом я работал как с Betheme, так и с Enfold, поэтому могу подтвердить их популярность среди веб-дизайнеров и разработчиков.


Было вынесено предупреждение относительно двух тем WordPress от ThemeForest, которые имеют потенциальную уязвимость в безопасности. Эта проблема может позволить злоумышленнику по своему желанию удалить файлы и вставить вредоносный код на веб-сайт, причинив ему вред.

Две темы WordPress проданы на ThemeForest

На ThemeForest есть две темы WordPress, содержащие уязвимости, и в совокупности эти темы собрали более 500 000 продаж.

Две темы:

  • Тема Betheme для WordPress (306 362 продаж)
  • The Enfold — адаптивная многоцелевая тема для WordPress (260 607 продаж)

Тема Betheme для уязвимости WordPress

Wordfence выпустил предупреждение о том, что тема Betheme содержит серьезную уязвимость PHP Object Injection, классифицируемую как значительный риск.

Wordfence не предоставил подробной информации об обнаруженной ими уязвимости, но с точки зрения темы WordPress уязвимость PHP Object Injection часто возникает из-за недостаточной фильтрации (очистки) предоставленных пользователем данных, что приводит к потенциально опасной загрузке или вводу файлов.

Тема Betheme в WordPress имеет проблему безопасности, которая делает возможным несанкционированное внедрение PHP-объектов. Эта уязвимость существует во всех версиях до 27.5.6 из-за десериализации ненадежных данных в метазначении записи mfn-page-items. Это означает, что прошедшие проверку подлинности злоумышленники с доступом на уровне участника или выше могут вставить объект PHP без каких-либо дальнейших шагов (цепочки POP) в затронутом плагине.

Если в целевой системе существует цепочка POP из-за дополнительных плагинов или тем, эта настройка может дать злоумышленнику возможность удалять файлы по своему желанию, получать доступ к конфиденциальной информации или запускать команды.

Была ли исправлена ​​тема Betheme?

30 августа 2024 г. было реализовано обновление или исправление (патч) для темы Betheme в WordPress. Однако рекомендации по безопасности Wordfence, похоже, пока не отражают это изменение. Возможно, рекомендацию необходимо пересмотреть. В любом случае пользователям темы Enfold рекомендуется обновить свою тему до самой последней версии — версии 27.5.7.1.

The Enfold — адаптивная многоцелевая тема для WordPress

Эта многоцелевая тема WordPress под названием Enfold Responsive, которая выполняет несколько функций, была определена как проблема средней серьезности (рейтинг: 6,4). Важно отметить, что издатель темы еще не предоставил решения для устранения этой уязвимости.

Сохраненный межсайтовый скриптинг (XSS) был обнаружен в теме WordPress из-за ошибки, возникшей из-за невозможности очистки входных данных.

Тема WordPress под названием Enfold — Responsive Multi-Purpose Theme до версии 6.0.3 имеет недостаток безопасности. Эта уязвимость позволяет злоумышленникам, прошедшим проверку подлинности с уровнем доступа «Участник» или выше, вставлять вредоносные сценарии на страницы через параметры «wrapper_class» и «class». Эти вставленные сценарии будут выполняться всякий раз, когда пользователь посещает затронутую страницу из-за неадекватной проверки ввода и кодирования вывода. Проще говоря, это означает, что существует риск того, что несанкционированные злоумышленники добавят на ваш сайт вредоносный код, который может запускаться при доступе пользователей к затронутым страницам.

Уязвимость Enfold не исправлена

На момент написания статьи Enfold — адаптивная многоцелевая тема для WordPress еще не получила никаких исправлений безопасности, что делает ее открытой для потенциальных уязвимостей. Журнал изменений показывает, что последний раз тема обновлялась 19 августа 2024 года.

Скриншот журнала изменений темы Enfold WordPress

Уязвимости в двух темах WordPress ThemeForest, продано более 500 тысяч штук

На данный момент Enfold — адаптивная многоцелевая тема для WordPress не получила никаких обновлений для исправления известных проблем, что делает ее по-прежнему уязвимой для потенциальных угроз безопасности.

На данный момент не существует известного нам исправления (патча) для этой проблемы. Рекомендую тщательно изучить особенности уязвимости и принять меры защиты в соответствии с уровнем риска вашей организации. В качестве альтернативной стратегии вы можете рассмотреть возможность удаления соответствующего программного обеспечения и поиска альтернативного решения.

Betheme <= 27.5.6 – Аутентифицированная (Contributor+) инъекция PHP-объекта

В версиях Enfold ниже 6.0.3 существует уязвимость хранимого межсайтового сценария, которую Contributors+ может использовать путем манипулирования параметрами «wrapper_class» и «class».

Смотрите также

2024-08-31 08:38