Elegant Themes 宣布其多款产品存在代码注入漏洞,应立即更新。 该漏洞允许不可信的用户执行 PHP 函数。
Divi 是一个流行的 WordPress 主题,在世界范围内被广泛使用。 发布商立即更新他们的主题和其他两个 Elegant Themes 产品非常重要。
优雅主题公告
官方公告详细说明了该漏洞是在例行审计过程中发现的。
他们是这样描述这一发现的:
“我们的团队在例行代码审核期间发现了一个代码注入漏洞,该漏洞可能允许登录的贡献者、作者和编辑执行一小组 PHP 函数。”
存在漏洞的优雅主题产品
Elegant Themes 的三款产品被发现存在漏洞。 这些产品是流行的 Divi 主题、Extra 主题和 Divi Builder 插件。
什么是 Divi、Extra 和 Builder 漏洞?
该漏洞是一种代码注入变体。 它允许登录的贡献者执行一组有限的 PHP 函数。
一般来说,代码注入攻击允许黑客执行命令,然后可以破坏网站,有时甚至是整个服务器。 通常,代码注入漏洞可允许恶意用户在网站上安装恶意软件。
此漏洞会影响使用 Divi 3.23 及更高版本、Extra 2.23 及更高版本或 Divi Builder 2.23 及更高版本且已向贡献者授予发布凭据的 Elegant Theme 发布者。
如何防范 Divi 漏洞
更新到最新版本的 Divi、Extra 和 Divi Builder 插件(版本 4.0.10)将保护您免受此漏洞的侵害。
虽然此漏洞可能不会影响没有第三方贡献者、作者和编辑的用户,但仍然值得更新您的 Divi 主题,因为此更新附带了许多错误修复。
阅读 官方 Divi 主题更改日志在这里.
阅读 优雅的主题额外的主题更新日志.
阅读 优雅的主题生成器更新日志.
阅读 在此处存档电子邮件公告.
