Oblíbený plugin pro stavbu WordPress stránek a jeho rozšíření, obsahují vážnou zranitelnost, která ohrožuje velké množství webů, kde jsou instalovány.
Elementor Pro je placená verze Elementoru a je velmi oblíbená, protože umožňuje vyvářet šablony částí stránek a s jeho pomocí tak postavíte kompletní web. Ultimate Addons for Elementor je jeho rozšíření.
Elementor Pro je instalován na milionu webů a Ultimate Addons má 110 000 instalací.
Edit: byla vydána verze 2.9.4 s opravou https://elementor.com/pro/changelog/
Zranitelnost u Elementoru Pro je poměrně nová záležitost, takže na ni ještě není vydána záplata.
U Elementoru Pro se jedná o využití zero day zranitelnosti a ohroženy jsou weby, které mají povolenou registraci uživatelů. Chyba dovolí registrovaným nahrát soubor, který obsahuje spustitelný kód. Díky tomu nainstalují zadní vrátka do systému a mohou vám klidně smazat celý web.
Naproti tomu Ultimate Addons ohrožuje i weby, které povolenou registraci uživatelů nemají. Pomocí pluginu totiž vytvoří uživatele a následně jej pak využijí pro útok přes Elementor Pro.
Naštěstí, pro Ultimate Addons je již vydána verze 1.24.2, která obsahuje opravu.
Pokud chcete vaše stránky ochránit, aktualizujte okamžitě Ultimate Addons for Elementor plugin. U Elementoru Pro je jediná možnost, odstranit jej ze stránek a použít free verzi. To bohužel zapříčiní rozbití designu, ale jakmile pro verzi opět nainstalujete, vše by se mělo vrátit do normálu. Edit.: oprava je již venku Tak fix už je venku. Když jsem to psal, tak ještě nebyl. V každém případě aktualizovat – https://elementor.com/pro/changelog/
Aktualizace je již dostupná, proto aktualizujte plugin na nejnovější verzi
V případě, že máte pocit, že je vaše stránka již napadené
- Můžete zkontrolovat podezřelé registrace uživatelů a smazat je.
- hledejte soubor wp-xmlrpc.php – to může být znamením, že je váš web napadený. Originální soubor nemá předponu wp-
- smažte všechny neznámé soubory ze složky /wp-content/uploads/elementor/custom-icons/
Na zranitelnost upozornil team WordFence.com