Sélectionner une page


Sujets élégants, une société qui fournit des thèmes et des plugins WordPress, a émis un avertissement de sécurité sur deux de ses thèmes et trois plugins que les attaquants peuvent utiliser pour modifier le contenu du site Web ou les paramètres du plugin.

Un chercheur en sécurité anonyme a découvert les problèmes et l’a transmis en privé à Elegant Themes. La société a travaillé avec le chercheur en sécurité et un fournisseur de sécurité Web privé (Sucuri) pour évaluer et résoudre les problèmes.

Une fois que la société a réussi à corriger toutes les vulnérabilités signalées, elle a commencé à envoyer des e-mails à tous ses clients, qui ont été envoyés pour la première fois le 17 février et renvoyés quelques jours plus tard. Vous pouvez lire une copie du Lettre ici, gracieuseté de Magazine SC.

Les utilisateurs de bas niveau peuvent modifier le contenu et les paramètres du site Web

Les vulnérabilités liées à Divi, Divi 2.3 (Legacy) et Extra ainsi qu’aux plugins Divi Builder, Bloom et Monarch.

Selon Nick Roach d’Elegant Themes, le plugin Divi Builder contenait un bogue de divulgation d’informations qui pourrait être exploité pour élever les autorisations d’un utilisateur inférieur au point où il peut modifier le contenu des publications du site.

Parce que le plugin Divi Builder a été inclus dans les thèmes Divi, Divi 2.3 (Legacy) et Extra par défaut, tout site Web basé sur des thèmes avec une inscription d’utilisateur ouverte est vulnérable aux attaques.

Une deuxième vulnérabilité similaire a été trouvée dans les plugins Bloom et Monarch, qui permettait aux utilisateurs de niveau inférieur de modifier les paramètres de ces plugins.

Tous les problèmes ont été corrigés

La société a mis à disposition des correctifs, ainsi que de nouvelles versions de plugins et de thèmes, pour résoudre les problèmes découverts. Les utilisateurs sont invités à mettre à jour leur site dans les plus brefs délais. Pour les utilisateurs qui ne peuvent pas mettre à niveau, les correctifs résolvent tous les problèmes sans entraîner d’incompatibilités lors de la mise à niveau.

Toutes ces mises à jour et correctifs sont également mis gratuitement à la disposition des clients plus âgés qui ne sont plus membres actifs du site Web.

Elegant Themes indique que les versions de plugin et de thème suivantes ont toutes résolu leurs problèmes: Thème Divi 2.6.4, Thème Divi (Legacy) 2.3.4, Thème supplémentaire 1.2.4, Plugin Divi Builder 1.2.4, Plugin Bloom 1.1.1, et Monarch Plugin 1.2.7.



Source link

Recent Posts