未知的威脅行為者正在積極利用WordPress的Elementor Pro網(wǎng)站構(gòu)建器插件中最近修補(bǔ)的安全漏洞。

該漏洞被描述為破壞訪問控制的情況，影響3.11.6及更早版本。插件維護(hù)者在3月22日發(fā)布的3.11.7版本中解決了這個問題。

“WooCommerce組件中改進(jìn)的代碼安全執(zhí)行”，總部位于特拉維夫的公司?說在其發(fā)行說明中。高級插件是?估計(jì)將在超過1200萬個網(wǎng)站上使用。

成功利用該嚴(yán)重漏洞可使經(jīng)過身份驗(yàn)證的攻擊者完成對啟用了WooCommerce的WordPress網(wǎng)站的接管。

“這使得惡意用戶可以打開注冊頁面（如果禁用）并將默認(rèn)用戶角色設(shè)置為管理員，以便他們可以創(chuàng)建立即具有管理員權(quán)限的帳戶，”Patchstack 說在2023年3月30日的警報(bào)中。

“在此之后，他們可能會將網(wǎng)站重定向到另一個惡意域，或者上傳惡意插件或后門以進(jìn)一步利用該網(wǎng)站?！?/p>

貸方?發(fā)現(xiàn)并報(bào)告漏洞2023年3月18日，NinTechNet安全研究員杰羅姆Bruandet

Patchstack進(jìn)一步指出，該漏洞目前正在被幾個IP地址濫用，意圖上傳任意PHP和ZIP存檔文件。

建議Elementor Pro插件的用戶盡快更新到最新版本3.11.7或3.12.0，以減輕潛在的威脅。

該公告是在Elementor插件的Essential Addons被發(fā)現(xiàn)包含一個嚴(yán)重漏洞后一年多發(fā)布的，該漏洞可能導(dǎo)致在受感染的網(wǎng)站上執(zhí)行任意代碼。

上周，WordPress發(fā)布了自動更新，以修復(fù)另一個嚴(yán)重的錯誤?WooCommerce支付插件這使得未經(jīng)身份驗(yàn)證的攻擊者能夠獲得對易受攻擊站點(diǎn)的管理員訪問權(quán)限。

稿源：TheHackerNews.com

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/