O Elegant Themes pisałem nie raz, i chyba do tej pory zawsze było to w pozytywnym kontekście – tym razem będzie trochę inaczej, bo wczoraj późnym wieczorem dostałem e-mail z informacją, że warto jak najszybciej zaktualizować niektóre ich motywy i wtyczki…
Spis treści w artykule
Podatność w Divi Builder
Z tego co zrozumiałem z wiadomości to źródłem prawdopodobnie jest moduł Divi Builder, który w ich najnowszych motywach (Divi, Extra) i niektórych wtyczkach (Bloom, Monarch i właśnie Divi Builder) odpowiada za graficzne zarządzanie treścią (tworzenie treści z wykorzystaniem odpowiednich modułów).
Najnowsze, załatane/bezpieczne wersje to:
- Divi 2.6.4
- Divi (legacy) 2.3.4
- Divi Builder 1.2.4
- Extra 1.2.4
- Bloom 1.1.1
- Monarch 1.2.7
Groźny tylko zalogowany użytkownik
Ze wstępnego opisu podatności wiadomo, że w pewnych warunkach każdy zalogowany użytkownik może niezależnie od swoich uprawnień wykonać działania na obiektach wchodzących w skład Divi Buildera, a tym samym dokonać modyfikacji w treściach strony (tam gdzie treści przygotowano z wykorzystaniem Divi Builder).
Szczęście w nieszczęściu
A więc jeśli na naszej stronie korzystamy z podatnych motywów lub wtyczek od Elegant Themes, ale nie pozwalamy dowolnej osobie na założenie konta i zalogowanie się (pewnie tak będzie w większości przypadków), to wszystko powinno być OK, choć i tak zalecam jak najszybszą aktualizację – raczej nie zaszkodzi.
W innym przypadku należy jak najszybciej zainstalować aktualizację, ew. w międzyczasie wyłączając rejestracje nowych użytkowników, i ograniczając grono osób które mogą się zalogować do panelu zarządzania WordPressem do zaufanych osób (można to zrobić choćby poprzez dodatkową blokadę dostępu do wp-admin).
Nie ma tego złego…
W pierwszym akapicie napisałem, że “do tej pory zawsze było to w pozytywnym kontekście – tym razem będzie trochę inaczej”.
Trochę inaczej, bo na pewno nie ma co się cieszyć – ale płakać też nie ma co (bo trzeba aktualizować ;-)), nawet jak jak na Twojej stronie znajduje się motyw lub wtyczka podatna na przedstawione ryzyko.
Zwłaszcza, że pewnie w większości przypadków (patrze m.in. na swoje i swoich klientów strony) grono osób które mogą zarządzać daną stroną, a więc ew. mogłyby podnieść sobie uprawnienia (jeśli mają niższe niż administrator) jest ograniczone raczej do zaufanych osób, a więc już tylko w tym kontekście ryzyko znacznie spada.
W pozostałych przypadkach… no cóż, ryzyko wzrasta, ale szybka aktualizacja powinna rozwiązać ten problem, zwłaszcza że w wiadomości e-mail dotyczącej wykrytej podatności znajduje się również informacja, że z aktualizacji będą mogli (mogą) skorzystać również osoby których konto wygasło.
| Lub postaw nam kawę :-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Mały dron, duże zamieszanie, czyli seria DJI Mini i zabawa w klasy (unijne klasy dla dronów) z EASA i użytkownikami - 1970-01-01
- Opcja “restore_from_flash”, czyli sposób na zapamiętywanie ustawień w ESPHome na układach ESP8266 - 1970-01-01
- Blokowe szablony powiadomień (block notice) w WooCommerce, nawet w klasycznych motywach - 1970-01-01
