上周,Seravo和WP Charged的安全研究人员 已报告 2021年3月8日在The Plus Addons for Elementor中出现了一个严重的零日漏洞,WPScan将其归类为身份验证绕过漏洞:
恶意行为者正在积极利用该插件绕过身份验证,仅提供相关的用户名即可允许未经身份验证的用户以任何用户身份(包括admin)登录,以及创建具有任意角色(例如admin)的帐户。 即使禁用了注册并且“登录”小部件未处于活动状态,也可以利用这些问题。
需要特别注意的是,此特定漏洞会影响The Plus Addons for Elementor商业版本的用户,而不是免费版本,而不是核心Elementor。
该插件的作者在披露后推出了部分修补的版本4.1.6,然后发布了第二个版本4.1.7,以更全面地解决该问题。
Wordfence报告说,他们仍在阻止使用未修补程序的网站上的尝试。 他们已阻止来自特定用户名的1900次站点接管尝试,阻止了来自特定电子邮件的1170次尝试,并在过去一周中阻止了4,000次尝试。 攻击者仍将目标锁定为尚未更新为补丁程序版本的站点。
Wordfence威胁分析师Chloe Chamberland在报告中说:“有证据表明,在此之前,它已经被积极利用了大约5天。” Wordfence Live 今天放映。 “到目前为止,我们妥协的最早日期是3月5日。 几天来一直存在一个漏洞,除了这个要出去利用它的攻击者以外,没人真正知道。”
那些被利用了站点的人已经看到创建了恶意管理员帐户。 其他人则经历了他们站点上每个URL重定向的问题,这使其很难清理。 攻击者还一直在安装名为“ WP Strongs”和“ WP Staff”的恶意插件。 那些无法访问管理仪表板的人将很难删除这些插件。
建议安装了Plus Addons插件的Elementor用户更新到最新版本并检查恶意插件和文件。 理想情况下,遭受漏洞利用的网站所有者应具有要还原的备份。 Chamberland今天结束了Wordfence Live广播,通过引导用户手动清理受攻击的站点,包括替换wp-includes和wp-admin文件夹以及这些目录之外的标准文件,来结束Wordfence Live广播。 这 记录 对于那些正在努力清理损害的人可能会有所帮助。
像这样:
像载入中…