Найдена критическая уязвимость в премиум-темах Jupiter
Исследователи выявили критическую уязвимость в двух темах, использующихся на 90000 WordPress-сайтах, которая позволяла злоумышленникам получить полный контроль над сайтом.
Эксперт из команды WordFence Рамуэль Галл, выявивший уязвимость (и несколько других дыр) с начала апреля по начало мая в темах Jupiter и JupiterX, написал об этом свой пост.
Одна из уязвимостей, отмеченная как CVE-2022-1654 и оцененная в 9.9 по шкале опасности CVSS, позволяла любому «аутентифицированному злоумышленнику, включая подписчика или клиента, получить административные права доступа и полностью захватить работающий сайт, если на нем была активирована тема Jupiter или плагин JupiterX», — отметил Рамуэль. Плагин требуется для запуска темы JupiterX.
Затронутые версии: Jupiter 6.10.1 или ранее, JupiterX 2.0.7 или ранее.
Исследование со стороны WordFence было завершено 5 апреля, после чего в тот же день о найденных дырах было просигнализировано разработчику Jupiter и JupiterX – компании ArtBees. Потом была найдена еще одна дыра в теме Jupiter, и про нее было дополнительно сообщено разработчику 3 мая. К 10 мая создатели тем ArtBees выпустили обновленные версии Jupiter и JupiterX, в которых были устранены все недостатки.
