WordPress ElementorWebsiteBuilderプラグインで報告された重大なRCEの欠陥 – thehackernews.com

500万を超えるアクティブなインストールが行われているWordPressWebサイトビルダープラグインであるElementorは、影響を受けるWebサイトを乗っ取るために悪用される可能性のある認証済みのリモートコード実行の欠陥に対して脆弱であることが判明しています。
「これは、攻撃者によって提供された悪意のあるコードがWebサイトによって実行される可能性があることを意味します」と研究者は述べています。
一言で言えば、この問題は、影響を受けるWebサイトへの任意のファイルのアップロードのケースに関連しており、コードの実行につながる可能性があります。
このバグはElementorの最新バージョンで対処されており、Patchstackは、「この脆弱性により、認証されたユーザーは、承認に関係なく、サイトタイトル、サイトロゴを変更したり、テーマをElementorのテーマに変更したり、最悪の場合、 、サイトに任意のファイルをアップロードする」
この開示は、Essential Addons for Elementorに重大な脆弱性が含まれていることが判明してから2か月以上が経過し、侵害されたWebサイトで任意のコードが実行される可能性があります。