Cảnh báo lỗ hổng nghiêm trọng trong plugin Elementor Pro dành cho WordPress

whf

Super Moderator
Thành viên BQT
06/07/2013
797
1.308 bài viết
Cảnh báo lỗ hổng nghiêm trọng trong plugin Elementor Pro dành cho WordPress
Những kẻ tấn công đang tích cực khai thác lỗ hổng được vá gần đây trong plugin Elementor Pro dành cho WordPress được sử dụng trên hơn 12 triệu trang web.

1680419388941.png

Lỗ hổng được xác định là broken access control, ảnh hưởng đến các phiên bản 3.11.6 trở về trước và đã được vá trong phiên bản 3.11.7 phát hành vào ngày 22 tháng 3.

Đây là lỗ hổng nghiêm trọng cao nếu khai thác thành công có thể cho phép kẻ tấn công được xác thực có quyền quản trị website WordPress đã bật WooCommerce.

Patchstack cho biết trong một cảnh báo vào ngày 30/3/2023: "Kẻ tấn công có thể bật trang đăng ký (nếu bị tắt) và thiết lập quyền người dùng mặc định thành quản trị viên để họ có thể tạo một tài khoản ngay lập tức có đặc quyền của quản trị viên".

"Sau đó, họ có thể chuyển hướng trang web đến một tên miền độc hại khác hoặc tải lên một plugin hoặc dùng backdoor để tiếp tục khai thác trang web."


1680419419988.png
Nhà nghiên cứu bảo mật NinTechNet Jerome Bruandet được ghi nhận là người đã phát hiện và báo cáo lỗ hổng vào ngày 18/3/2023.

Patchstack lưu ý thêm rằng lỗ hổng hiện đang bị khai thác từ một số địa chỉ IP với mục đích tải lên các tệp lưu trữ PHP và ZIP tùy ý.

Người dùng plugin Elementor Pro nên cập nhật lên 3.11.7 hoặc 3.12.0, đây là phiên bản mới nhất, càng sớm càng tốt để giảm thiểu các mối đe dọa tiềm ẩn.

Tuần trước, WordPress cũng đã phát hành các bản cập nhật để khắc phục một lỗi nghiêm trọng khác trong plugin WooCommerce Payments cho phép những kẻ tấn công không được xác thực có quyền truy cập của quản trị viên vào các trang web dễ bị tấn công.

Theo: Thehackernews
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
wordpress
Bên trên