未知黑客积极利用WordPress Elementor Pro漏洞

未知的威胁参与者正在积极利用WordPress的Elementor Pro网站构建器插件中最近修补的安全漏洞。

该缺陷被描述为访问控制中断的情况，影响版本3.11.6及更早版本。插件维护者在3月22日发布的3.11.7版本中解决了这个问题。

“改进了WooCommerce组件中的代码安全实施，”这家总部位于特拉维夫的公司在其发行说明中表示。据估计，高级插件将在超过1200万个站点上使用。

成功利用高危漏洞允许经过身份验证的攻击者完成对启用了WooCommerce的WordPress网站的接管。

“这使得恶意用户可以打开注册页面（如果禁用）并将默认用户角色设置为管理员，这样他们就可以创建一个立即拥有管理员权限的帐户，”Patchstack 在3月30日的警告称。

“在此之后，他们可能会将网站重定向到另一个恶意域，或者上传恶意插件或后门以进一步利用该网站。”

NinTechNet安全研究员Jerome Bruandet于2023年3月18日发现并报告了该漏洞。

Patchstack进一步指出，该漏洞目前正被多个IP地址在野外滥用，目的是上传任意PHP和ZIP存档文件。

建议使用Elementor Pro插件的用户尽快更新至最新版本3.11.7或3.12.0，以缓解潜在威胁。

在发现Elementor插件的Essential Addons包含一个可能导致在受感染网站上执行任意代码的严重漏洞一年多后，该公告发布了。

上周，WordPress发布了自动更新以修复WooCommerce支付插件中的另一个严重错误，该错误允许未经身份验证的攻击者获得对易受攻击站点的管理员访问权限。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5521.html