Изящные Темы, компания, которая обеспечивает темы WordPress и плагины, выпустили предупреждение системы безопасности относительно двух из его тем и трех плагинов, которые позволили бы нападавшим изменять контент сайта или вставные параметры настройки.

Неназванный исследователь безопасности обнаружил проблемы и конфиденциально раскрыл проблему Изящным Темам. Компания работала с исследователем безопасности и частным продавцом безопасности в Интернете (Sucuri), чтобы оценить и решить проблемы.

Как только компании удалось зафиксировать все слабые места, о которых сообщают, она начала посылать электронные письма всем ее клиентам, сначала отосланным 17 февраля, и затем негодуйте несколько дней спустя. Вы можете прочитать копию письма здесь, любезности Журнала SC.

Пользователи низкого ряда могли изменить контент сайта, параметры настройки

Слабые места затронули Дивиденд, Дивиденд 2.3 (наследие) и Дополнительные темы, и в Строителе Дивиденда, Цветке и плагинах Монарха.

По словам Ника Роуча Изящных Тем, плагин Строителя Дивиденда включал ошибку раскрытия информации, которая могла эксплуатироваться, чтобы поднять привилегии более низкого пользователя достаточно, чтобы позволить ему изменять содержание на постах места.

Поскольку плагин Строителя Дивиденда был включен по умолчанию с Дивидендом, Дивидендом 2.3 (наследие) и Дополнительные темы, все места основывались на тех темах, у которых была пользовательская открытая регистрация, уязвимы для нападений.

Вторая, подобная уязвимость была найдена в плагинах Цветка и Монарха, которые позволили пользователям нижнего яруса изменять параметры настройки тех плагинов.

Все проблемы были устранены

Компания обеспечила участки и новый плагин и версии темы, чтобы устранить все обнаруженные проблемы. Пользователям рекомендуют модернизировать их место как можно скорее, но для пользователей, которые не могут модернизировать, участки устранят все проблемы, не имея необходимость создавать несовместимости, обновляя.

Все эти обновления и участки будут предоставлены бесплатно даже клиентам старшего возраста, у которых больше нет активного членства на территории.

Изящные Темы говорят, что следующий плагин и версии темы решили все их проблемы: тема Дивиденда 2.6.4, Дивиденд (наследие) тема 2.3.4, Дополнительная тема 1.2.4, плагин Строителя Дивиденда 1.2.4, плагин Цветка 1.1.1 и плагин Монарха 1.2.7.