Er is een kritieke kwetsbaarheid geconstanteerd in twee thema’s van Elegant Themes, Divi en Extra, evenals Divi Builder, een WordPress-plug-in. Samen worden deze producten geïnstalleerd op naar schatting 700.000 WordPress-sites.
Op 23 juli 2020 werd deze ernstige fout gevonden door het Threat Intelligence team van Wordfence.
Impact
Deze fout gaf geverifieerde aanvallers, met mogelijkheden op bijdragerniveau of hoger, de mogelijkheid om willekeurige bestanden, inclusief PHP-bestanden, te uploaden en externe code-uitvoering te bereiken op de server van een kwetsbare site.
Het Threat Intelligence team van Wordfence heeft de alle ontwikkelaars contact opgenomen op 23 juli 2020. De ontwikkelaars van het thema en plugins reageerden op 29 juli 2020 aan het Threat Intelligence team te laten weten dat er een patch zou komen in de volgende versie. Patches zijn gisteren, op 3 augustus 2020, uitgebracht in versie 4.5.3 voor alle producten.
Updaten is aanbevolen
Dit wordt beschouwd als een kritiek beveiligingsprobleem dat kan leiden tot uitvoering van externe code op de server van een kwetsbare WordPress-site.
Als u nog niet hebt geüpdatet en u gebruikt Divi-versies 3.0 en hoger, Extra versies 2.0 en hoger of Divi Builder-versies 2.0 en hoger, raden we u ten zeerste aan onmiddellijk te updaten naar de gepatchte versie 4.5.3. Als alternatief, kunt u Elegant’s Security Patcher plugin gebruiken totdat u veilig kunt updaten.
Extra informatie:
Omschrijving: Authenticated Arbitrary File Upload
Getroffen Producten: Divi Theme, Extra Theme, and Divi Builder plugin
Thema Slugs: divi, extra
Plugin slug: divi-builder
Getroffen Versies: (Divi): 3.0 – 4.5.2
Getroffen Versies: (Extra): 2.0 – 4.5.2
Getroffen Versies: (Divi Builder): 2.0 – 4.5.2
CVE ID: In afwachting.
CVSS Score: 9.9 (ZEER KRITIEK)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Volledige Gepatchte Versie (hetzelfde voor alle producten): 4.5.3
Extra ondersteuning nodig? Wij kunnen u helpen.
Bij het afnemen van ons Website Onderhoud gaan wij uw website updaten en onderhouden. Alle gebruikte scripts en het CMS/CRM systeem en plug-ins/modules zullen dan de nieuwste versie geïnstalleerd krijgen zodat u minder gevoelig bent eventueel binnendringen van buitenaf en uw website niet misbruikt kan worden.
Bij kritieke beveiligingslekken zullen wij deze meteen naar de nieuwste versie bijwerken.
Voor vragen of wilt u meer informatie over deze dienst of om gebruik te maken van deze dienst, neemt u gerust contact met ons op via info@solutions4hosting.nl
Kijkt voor u meer informatie over deze dienst op onze website: https://www.solutions4hosting.nl/website-diensten/website-onderhoud/