🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Tin tặc khai thác lỗ hổng WordPress Elementor Pro: Hàng triệu trang web gặp rủi ro

03/04/2023

Các tác nhân đe dọa chưa xác định đang khai thác một lỗ hổng bảo mật đã được vá gần đây trong plugin tạo và quản lý trang web Elementor Pro dành cho WordPress.

Lỗ hổng được xếp ở mức cao, liên quan đến một trường hợp phá vỡ kiểm soát truy cập, ảnh hưởng đến các phiên bản 3.11.6 trở về trước và đã được giải quyết trong phiên bản 3.11.7 được phát hành vào ngày 22 tháng 3.

Elementor cho biết "đã cải thiện bảo mật mã nguồn trong các thành phần WooC Commerce". Plugin cao cấp này được ước tính đã được sử dụng trên hơn 12 triệu trang web.

Khai thác thành công lỗ hổng cho phép kẻ tấn công đã xác thực chiếm quyền kiểm soát trang web WordPress được bật WooC Commerce.

"Điều này giúp người dùng độc hại có thể bật trang đăng ký (nếu bị tắt) và cài đặt quyền người dùng mặc định thành quản trị viên để có thể tạo một tài khoản có quyền quản trị viên ngay lập tức", Patchstack cho biết trong một cảnh báo vào ngày 30 tháng 3 2023.

"Sau đó, họ có khả năng chuyển hướng trang web đến một tên miền độc hại khác hoặc tải lên một backdoor hoặc plugin độc hại để tiếp tục khai thác trang web".

Nhà nghiên cứu bảo mật NinTechNet Jerome Bruandet được ghi nhận là người phát hiện và báo cáo lỗ hổng vào ngày 18 tháng 3 năm 2023.

Patchstack lưu ý thêm rằng lỗ hổng hiện đang bị lạm dụng từ một số địa chỉ IP có ý định tải lên các tệp PHP và ZIP tùy ý.

Người dùng plugin Elementor Pro nên cập nhật lên phiên bản mới nhất, 3.11.7 hoặc 3.12.0, càng sớm càng tốt để giảm thiểu các mối đe dọa tiềm ẩn.

Trước đó hơn một năm, plugin Essential Addons for Elementor đã được phát hiện có chứa một lỗ hổng nghiêm trọng cho phép thực thi mã tùy ý trên các trang web bị xâm nhập.

Gần đây, WordPress cũng đã phát hành các bản cập nhật tự động để khắc phục một lỗ hổng nghiêm trọng khác trong plugin WooCommerce Payments cho phép những kẻ tấn công không được xác thực có quyền truy cập của quản trị viên vào các trang web bị ảnh hưởng.

Nguồn: thehackernews.com.

scrolltop