admin 
Buvo paskelbtas įspėjimas apie didelio pažeidžiamumą, aptiktą „Page Builder by SiteOrigin WordPress“ papildinyje, kuris įdiegtas daugiau nei 500 000 svetainių. Tai jau trečias 2026 m. „SiteOrigin Page Builder“ aptiktas pažeidžiamumas. Pažeidžiamumas CVSS sunkumo skalėje įvertintas 8,8.
Ką daro įskiepis
„SiteOrigin“ puslapių kūrimo priemonė yra nuvilkimo išdėstymo kūrimo priemonė, skirta „WordPress“. Tai leidžia svetainių savininkams sukurti interaktyvų, stulpeliais pagrįstą puslapių dizainą naudojant standartinius „WordPress“ valdiklius. Vartotojai gali kurti puslapius vizualiai, neįrašydami kodo.
Kadangi jis veikia su dauguma temų ir nereikalauja kodavimo žinių, jis plačiai naudojamas verslo ir asmeninėse svetainėse.
Reikalinga bendraautorio lygio prieiga
Dėl pažeidžiamumo reikia autentifikuoti. Užpuolikas turi turėti bendraautorio lygio arba aukštesnio lygio prieigą. Bendraautoris yra vienas žemiausių „WordPress“ vartotojo vaidmenų. Pagalbininkai gali kurti ir pateikti įrašus, bet negali jų skelbti. Tai reiškia, kad pažeidžiamumui nereikia administratoriaus prieigos, tačiau tam reikia paskyros.
Vietos failų įtraukimo pažeidžiamumas
Papildinys yra pažeidžiamas dėl vietinio failo įtraukimo visose versijose iki 2.33.5 imtinai.
Vietinis failų įtraukimas reiškia, kad papildinys gali būti priverstas įkelti failus iš serverio tinkamai neapribojant leidžiamų failų.
Problema egzistuoja funkcijoje locate_template().
Kas nutiko ne taip
Papildinys tinkamai neriboja, kuriuos failus galima įtraukti naudojant funkciją locate_template().
Ši funkcija turėtų įkelti tik patvirtintus šablonų failus.
Ką gali padaryti užpuolikai
Kadangi apribojimo nėra, autentifikuotas užpuolikas gali priversti papildinį įtraukti savavališkus failus, kurie jau yra serveryje.
Jei užpuolikas gali įkelti failą į serverį, jis gali priversti papildinį įtraukti tą failą ir vykdyti jį kaip PHP kodą.
Pagal oficialų Wordfence patarimą:
„Puslapių kūrimo priemonė by SiteOrigin“, skirta „WordPress“, yra pažeidžiama dėl vietinių failų įtraukimo visose versijose iki 2.33.5 imtinai naudojant funkciją locate_template(). Tai leidžia autentifikuotiems užpuolikams, turintiems Bendraautorio lygio ir aukštesnę prieigą, įtraukti ir vykdyti savavališkus failus serveryje, leidžiančius vykdyti bet kokius PHP kodus.
Tai gali būti naudojama norint apeiti prieigos kontrolę, gauti neskelbtinus duomenis arba pasiekti kodo vykdymą tais atvejais, kai galima įkelti ir įtraukti vaizdus ir kitus „saugius“ failų tipus.
Paveiktos ir pataisytos versijos
Pažeidžiamumas paveikia „Page Builder by SiteOrigins“ papildinio versijas: 2.33.5 ir senesnes. Problema išspręsta naudojant 2.34.0 versiją.
Rekomenduojami veiksmai svetainių savininkams
Svetainių savininkai, naudojantys „Page Builder by SiteOrigin“, turėtų atnaujinti į 2.34.0 ar naujesnę versiją. Jei atnaujinti neįmanoma, išjunkite papildinį, kol jį bus galima atnaujinti.
Teminis Shutterstock / Jan phanomphrai vaizdas
