В этом топовом плагине WordPress была уязвимость, которая позволяла хакерам взломать ваш сайт.
3 апреля 2023 г.Один из самых популярных плагинов конструктора веб-сайтов для WordPress содержит уязвимость высокой степени опасности, которую злоумышленники могут использовать для полного захвата уязвимого веб-сайта.
Исследователь по кибербезопасности Джером Брюанде из NinTechNet сказал, что обнаружил в Elementor Pro уязвимость, позволяющую аутентифицированному злоумышленнику создать учетную запись администратора. Это дает злоумышленникам ряд возможностей, в том числе активно используемую — перенаправить весь трафик на внешний вредоносный сайт.
ArsTechnica сообщает, что трафик со взломанных веб-сайтов перенаправляется на сайтaway[dot]trackersline[dot]com.
Критическая уязвимость
Эксперты по безопасностиWordPress PatchStack также обнаружили, что некоторые злоумышленники загружают вредоносные файлы. к уязвимым веб-сайтам, включая wp-resortpack.zip, wp-rate.php и lll.zip.
Уязвимость получила рейтинг 8,8/10, получив статус «критический». Пользователям рекомендуется обновить Elementor Pro до 3.11.7 или более поздней версии, так как все более старые версии уязвимы для этой уязвимости.
Это не первый случай обнаружения серьезной уязвимости в Elementor. В апреле прошлого года исследователи кибербезопасности из Wordfence обнаружили брешь, которая позволяла любому аутентифицированному пользователю загружать произвольный PHP-код. Тогда плагин был версии 3.6.0, в которой был представлен новый модуль Onboarding. Цель модуля состояла в том, чтобы упростить первоначальную настройку подключаемого модуля, но в нем использовался «необычный» метод регистрации действий AJAX без проверки возможностей.
Следовательно, любой вошедший в систему пользователь мог использовать любая из встроенных функций. При этом злоумышленник может, например, создать вредоносный ZIP-файл плагина «Elementor Pro» и использовать встроенные функции для его установки. Затем сайт будет выполнять любой код, присутствующий в плагине, включая код, предназначенный для захвата сайта или доступа к дополнительным ресурсам на сервере. Исследователи заявили, что в то время эти функции также можно было использовать для полной порчи сайта.
Сегодня Elementor Pro используется более чем на 12 миллионах веб-сайтов, заключает ArsTechnica.
- Это лучшие сайты для ведения блогов сейчас
Через: АрсТехника
Оригинал