Lỗ hổng RCE nghiêm trọng trong Plugin WordPress Elementor

Elementor, một plugin xây dựng trang web WordPress với hơn năm triệu lượt cài đặt, được phát hiện có chứa một lỗ hổng cho phép thực thi mã từ xa, có thể bị lạm dụng để chiếm quyền kiểm soát các trang web bị ảnh hưởng.

Tuần trước, Plugin Vulnerabilities đã tiết lộ thông tin về lỗ hổng này, cho biết lỗ hổng được phát hiện lần đầu trong phiên bản 3.6.0 được phát hành vào ngày 22 tháng 3 năm 2022. Khoảng 37% người dùng plugin đang sử dụng phiên bản 3.6.x.

Các nhà nghiên cứu cho biết “mã độc do kẻ tấn công cung cấp có thể được thực thi trên các trang web. Trong trường hợp này, lỗ hổng có khả năng bị khai thác bởi bất kỳ người dùng nào.

Lỗ hổng này cho phép bất kỳ người dùng đã xác thực thay đổi tiêu đề, logo trang web và tải tệp tùy ý lên các trang web bị ảnh hưởng, điều này có thể dẫn đến thực thi mã.

Patchstack cho biết lỗ hổng đã được khắc phục trong phiên bản mới nhất (3.6.3) của Elementor.

Tiết lộ này được đưa ra hơn hai tháng sau khi plugin Essential Addons dành cho Elementor được phát hiện có chứa một lỗ hổng nghiêm trọng có thể dẫn đến việc thực thi mã tùy ý trên các trang web bị xâm phạm.

Nguồn: thehackernews.com.