NinTechNet 研究员 Jerome Bruandet 于 2023 年 3 月 18 日在广泛使用的 Elementor Pro WordPress 插件中发现了一个高危漏洞,原因是超过 1100 万个网站使用的 WooCommerce 模块中存在访问控制缺陷,目前正被黑客利用
Elementor Pro 是一个 WordPress 页面构建器插件,可帮助轻松创建具有专业外观的网站,即使对于缺乏编码专业知识的个人也是如此。
流行的网站构建器插件包括拖放功能、主题构建、模板集合、自定义小部件支持以及用于在线商店的 WooCommerce 构建器。
3.11.6 版和所有先前版本的插件中存在一个漏洞,允许授权用户(例如站点成员或商店客户)修改站点设置并执行对站点的完全接管。
研究人员表示,该漏洞与插件的 WooCommerce 模块(“elementor-pro/modules/woocommerce/module.php”)的访问控制存在缺陷有关。这个缺陷允许任何人在没有经过适当验证的情况下更改数据库中的 WordPress 选项。
该漏洞的利用是通过称为“pro_woocommerce_update_page_option”的不安全 AJAX 操作进行的。此操作存在输入验证不足和能力检查不足的问题。
在 关于该漏洞的技术文章 中,Bruandet 表示经过身份验证的攻击者可以利用该漏洞通过启用注册并将默认角色设置为“管理员”来创建管理员帐户,更改管理员电子邮件地址或将所有流量重定向到外部恶意网站在许多其他可能性中改变 siteurl。
需要强调的是,利用此特定漏洞需要在网站上安装 WooCommerce 插件,这会触发 Elementor Pro 上相应的易受攻击的模块。
PatchStack 报告 Elementor 插件漏洞被积极利用
根据 WordPress 安全公司 PatchStack 的说法,黑客目前正在通过将网站访问者重定向到恶意域(“away[.]trackersline[.]com”)或将后门上传到被破坏的网站来利用 Elementor Pro 插件漏洞。
在这些攻击中上传的后门被命名为 wp-resortpark.zip、wp-rate.php 或 lll.zip。
该存档包含一个 PHP 脚本,使远程攻击者能够将其他文件上传到受感染的服务器,从而为他们提供对 WordPress 站点的完整访问权限。此访问可用于窃取数据或安装更多恶意代码。
利用此漏洞还可能对使用该插件的网站造成灾难性后果,包括将网站访问者重定向到恶意域或将后门上传到受感染的网站。
PatchStack 已经确定了三个 IP 地址,大多数针对易受攻击网站的攻击都来自这三个 IP 地址。因此,建议将这些 IP 地址添加到阻止列表中。
193.169.194.63
193.169.195.64
194.135.30.6
如果您的 WordPress 网站使用 Elementor Pro,请务必立即更新到 3.11.7 或更高版本,因为黑客正在积极瞄准易受攻击的网站。
鉴于这些发展,使用 Elementor Pro WordPress 插件的网站必须尽快更新到版本 3.11.7(最新版本为 3.12.0)。如果不这样做,可能会使他们容易受到黑客的攻击,这些黑客正在积极瞄准具有此漏洞的网站。
随着网络攻击的威胁不断上升,网站所有者必须优先考虑网络安全,并确保所有插件和软件都是最新的,安装了最新的安全补丁。如果不这样做,可能会导致毁灭性的数据泄露或敏感信息丢失。
这不是 WordPress 插件第一次成为黑客的目标。上周,WordPress 不得不强制更新在线商店使用的 WooCommerce 支付插件
原创文章,作者:华再,如若转载,请注明出处:https://www.zhiwaimao.com/hackers-exploiting-wordpress-elementor/