В шаблонах и плагинах для Wordpress от Elegant Themes, была обнаружена критическая уязвимость безопасности

Ресурс Elegant Themes отправил своим клиентам электронные письма, с сообщением об обнаружении критической уязвимости безопасности шаблонов, которая затрагивает большой сегмент продуктовой линейки «Элегантных тем».

Elegant Themes – компания, предоставляющая пользователям Wordpress доступ к множеству премиальных шаблонов. В них упаковано огромное количество функций, таких как шорткоды и настройка расположения блоков, с помощью «перетаскивания». Кроме того, компания осуществляет очень широкую поддержку своих клиентов.

Уязвимость была обнаружена в плагине Divi Builder (входящим в набор шаблонов Divi и Extra), что привело к возможности использования дополнительных привилегий пользователями. С их помощью, обычный зарегистрированный пользователь, может выполнять множество действий в рамках Divi Builder, включая манипулирование постами.

Кроме Divi Builder, уязвимость нашли не только в унаследованных шаблонах Divi, Divi 2.3 и Extra, но и в плагинах Monarch и Boom. По заявлению разработчиков, уязвимость была оперативно исправлена, вышедшим патчем. Однако, он доступен только на новых версиях Elegant Themes, поэтому для тех, кто пользуется устаревшими версиями, включили возможность модернизации, без добавления нового функционала.

По состоянию на 2015 год, «Элегантными темами» пользуются более 300 тыс. клиентов. Учитывая серьезность уязвимости, компания сделала обновление бесплатным, даже для тех, кто прекратил оплачивать поддержку сервисов Elegant Themes.