Η Elegant Themes, μια εταιρεία που παρέχει θέματα και plugins στη WordPress, εξέδωσε μια προειδοποίηση ασφαλείας σχετικά με δύο θέματά της και τρία plugins που επιτρέπουν στους επιτιθέμενους να αλλάξουν το περιεχόμενο του ιστοτόπου ή τις plugin ρυθμίσεις.
Ένας ανώνυμος ερευνητής ασφάλειας ανακάλυψε τα θέματα και ιδιωτικά αποκάλυψε το πρόβλημα στην Elegant Themes. Η εταιρεία συνεργάστηκε με τον ερευνητή ασφάλειας και έναν πωλητή ιδιωτικής Web ασφάλειας (Sucuri) για την αξιολόγηση και την αντιμετώπιση των προβλημάτων.
Από τη στιγμή που η εταιρεία κατάφερε να επιδιορθώσει όλα τα τρωτά σημεία που αναφέρθηκαν, άρχισε την αποστολή emails σε όλους τους πελάτες της -το πρώτο στάλθηκε στις 17 Φεβρουαρίου και στη συνέχεια στάλθηκε εκ νέου λίγες ημέρες αργότερα. Μπορείτε να διαβάσετε ένα αντίγραφο της επιστολής εδώ, με την ευγενή παραχώρηση του περιοδικού SC.
Οι ευπάθειες επηρέαζαν τα Divi, Divi 2.3 (legacy) και τα Extra themes και τα Divi Builder, Bloom και Monarch plugins.
Σύμφωνα με τον Nick Roach από την Elegant Themes, το Divi Builder plugin συμπεριελάμβανε ένα bug που αποκάλυπτε πληροφορίες, το οποίο θα μπορούσε να αξιοποιηθεί για να αλλάξει τα προνόμια ενός κατώτερου χρήστη έτσι ώστε να του επιτρέπεται να τροποποιήσει το περιεχόμενο των μηνυμάτων του site.
Επειδή το Divi Builder plugin περιλαμβάνεται από προεπιλογή στα Divi, Divi 2.3 (legacy) και στα Extra themes, όλα τα sites που έχουν κτιστεί πάνω σε αυτά τα θέματα και έχουν ανοιχτή την εγγραφή χρηστών είναι ευάλωτα σε επιθέσεις.
Μια δεύτερη, παρόμοια, ευπάθεια βρέθηκε στα Bloom και Monarch plugins που επέτρεπε στους χρήστες με κατώτατα δικαιώματα να τροποποιήσουν τις ρυθμίσεις αυτών των plugins.
Η εταιρεία παρείχε patches και νέες εκδόσεις των plugin για να διορθώσουν όλα τα θέματα που ανακαλύφθηκαν. Οι χρήστες συνιστάται να αναβαθμίσουν το site τους το συντομότερο δυνατό, αλλά για τους χρήστες που δεν είναι σε θέση να κάνουν αναβάθμιση, τα patches θα διορθώσουν όλα τα θέματα χωρίς να δημιουργηθούν θέματα συμβατότητας κατά την ενημέρωση.
Όλες αυτές οι ενημερώσεις και τα patches θα παρέχονται δωρεάν, ακόμη και για τους παλαιότερους πελάτες που δεν έχουν πλέον ενεργή συνδρομή.
Η Elegant Themes λέει ότι τα ακόλουθα plugin και οι εκδόσεις αυτών των θεμάτων έχουν διορθώσει όλα τους τα θέματα: Divi theme 2.6.4, Divi (legacy) theme 2.3.4, Extra theme 1.2.4, Divi Builder plugin 1.2.4, Bloom plugin 1.1.1 και Monarch plugin 1.2.7.
