このページで: [隠れる]
Wordfenceの研究者は最近、2つの関連するWordPressプラグイン(ElementorProとElementorのUltimateAddons)のセキュリティ欠陥の積極的な悪用を報告しました. これらの脆弱性のため, より多い 1 百万のサイトが危険にさらされている. 無料のElementorプラグインに注意することが重要です, 以上にインストール 4 百万のウェブサイト, この欠陥の影響を受けません. 無料のプラグインは、WordPressプラグインリポジトリから個別にダウンロードできます。. プロバージョンは、Elementor.comWebサイトからダウンロードできます。.
ElementorProプラグインのゼロデイ脆弱性
ElementorProプラグイン, ページビルダープラグイン, 重大なゼロデイ脆弱性があり、, Wordfenceによると, ユーザーがオープン登録をしているときに悪用可能. この脆弱性は「認証された任意のファイルのアップロード" 問題.
幸いなことに、Elementorは、脆弱性に対処するプラグインの次のバージョンであるElementorProバージョンをすでにリリースしています。 2.9.4. Wordfenceチームは、新しいバージョンで問題が修正されることを確認しました, とユーザーはできるだけ早く更新することをお勧めします.
この脆弱性の悪用シナリオは何ですか? この問題により、登録が可能になります (悪意のある) ユーザーが任意のファイルをアップロードすると、リモートでコードが実行される攻撃につながる可能性があります. リモートコード実行が実行されると, 攻撃者は:
- アクセスを維持するために、侵害されたWebサイトまたはWebシェルにバックドアをインストールします;
- WordPressの完全な管理者権限を取得する;
- 侵害されたサイトを削除する.
Elementorの脆弱性のための究極のアドオン
このプラグインはBrainstormForceによって開発されました. このプラグインには登録バイパスの脆弱性があり、ElementorProの問題が悪用される可能性があります, サイトでユーザー登録が有効になっていない場合でも.
ElementorProプラグインは以上にインストールされています 1 百万のウェブサイト, 一方、UltimateAddonsには 110,000 インストール. これにより、影響を受けるサイトの数が非常に多くなります. ElementorプラグインのUltimateAddonsのユーザーは、バージョンを実行している必要があります 1.24.2 攻撃を避けるために以上.
2つの脆弱性が一緒に悪用されています, ワードフェンスは言う:
サイトでユーザー登録が有効になっていない場合, 攻撃者は、パッチが適用されていないサイトでUltimate Addons for Elementorの脆弱性を使用して、サブスクライバーとして登録しています. 次に、新しく登録されたアカウントを使用して、Elementor Proのゼロデイ脆弱性を悪用し、リモートでコードが実行されるようにします。.
影響を受けるユーザーは、悪用を避けるためにプラグインの最新バージョンに更新する必要があります.
ほぼ読む 1脆弱なプラグインが原因で攻撃を受けているMWordPressサイト