Các tác nhân đe dọa chưa xác định đang khai thác một lỗ hổng bảo mật đã được vá gần đây trong plugin tạo và quản lý trang web Elementor Pro dành cho WordPress.
Lỗ hổng được xếp ở mức cao, liên quan đến một trường hợp phá vỡ kiểm soát truy cập, ảnh hưởng đến các phiên bản 3.11.6 trở về trước và đã được giải quyết trong phiên bản 3.11.7 được phát hành vào ngày 22 tháng 3.
Elementor cho biết "đã cải thiện bảo mật mã nguồn trong các thành phần WooC Commerce". Plugin cao cấp này được ước tính đã được sử dụng trên hơn 12 triệu trang web.
Khai thác thành công lỗ hổng cho phép kẻ tấn công đã xác thực chiếm quyền kiểm soát trang web WordPress được bật WooC Commerce.
"Điều này giúp người dùng độc hại có thể bật trang đăng ký (nếu bị tắt) và cài đặt quyền người dùng mặc định thành quản trị viên để có thể tạo một tài khoản có quyền quản trị viên ngay lập tức", Patchstack cho biết trong một cảnh báo vào ngày 30 tháng 3 2023.
"Sau đó, họ có khả năng chuyển hướng trang web đến một tên miền độc hại khác hoặc tải lên một backdoor hoặc plugin độc hại để tiếp tục khai thác trang web".
Nhà nghiên cứu bảo mật NinTechNet Jerome Bruandet được ghi nhận là người phát hiện và báo cáo lỗ hổng vào ngày 18 tháng 3 năm 2023.
Patchstack lưu ý thêm rằng lỗ hổng hiện đang bị lạm dụng từ một số địa chỉ IP có ý định tải lên các tệp PHP và ZIP tùy ý.
Người dùng plugin Elementor Pro nên cập nhật lên phiên bản mới nhất, 3.11.7 hoặc 3.12.0, càng sớm càng tốt để giảm thiểu các mối đe dọa tiềm ẩn.
Trước đó hơn một năm, plugin Essential Addons for Elementor đã được phát hiện có chứa một lỗ hổng nghiêm trọng cho phép thực thi mã tùy ý trên các trang web bị xâm nhập.
Gần đây, WordPress cũng đã phát hành các bản cập nhật tự động để khắc phục một lỗ hổng nghiêm trọng khác trong plugin WooCommerce Payments cho phép những kẻ tấn công không được xác thực có quyền truy cập của quản trị viên vào các trang web bị ảnh hưởng.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Một lỗ hổng Windows 10 năm tuổi vẫn đang bị khai thác trong các cuộc tấn công để làm cho các tệp thực thi độc hại có vẻ như được ký hợp pháp
Tín nhiệm mạng | Nhóm đe dọa APT Winter Vivern (TA473) hiện đang nhắm mục tiêu vào các quan chức ở Châu Âu và Mỹ trong một chiến dịch gián điệp mạng đang diễn ra.
Tín nhiệm mạng | Hơn một nghìn người, bao gồm các giáo sư và nhà phát triển trí tuệ nhân tạo (AI), đã cùng ký vào một bức thư ngỏ gửi tới tất cả các phòng thí nghiệm trí tuệ nhân tạo, kêu gọi họ tạm dừng phát triển và đào tạo các hệ thống AI mạnh hơn GPT-4 trong ít nhất sáu tháng
Tín nhiệm mạng | Nhóm thanh khoản token SafeMoon đã bị mất 8,9 triệu đô la sau khi một tin tặc khai thác chức năng hợp đồng thông minh mới được thiết kế để ‘thổi phồng giá’ của các token, cho phép người dùng bán SafeMoon với giá cao hơn nhiều.
Tín nhiệm mạng | Các phiên bản trojan hóa của phần mềm cài đặt trình duyệt ẩn danh TOR đang được sử dụng để nhắm mục tiêu người dùng ở Nga và Đông Âu bằng mã độc clipper được thiết kế để đánh cắp tiền điện tử kể từ tháng 9 năm 2022
Tín nhiệm mạng | Conor Brian Fitzpatrick, người sáng lập 20 tuổi và quản trị viên của điễn đàn hack BreachForums, hiện không còn tồn tại, đã chính thức bị buộc tội tại Mỹ với âm mưu thực hiện hành vi gian lận thiết bị truy cập.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
