上周,Seravo和WP Charged的安全研究人員 已報告 2021年3月8日在The Plus Addons for Elementor中出現了一個嚴重的零日漏洞,WPScan將其歸類為身份驗證繞過漏洞:
惡意行為者正在積極利用該插件繞過身份驗證,僅提供相關的用戶名即可允許未經身份驗證的用戶以任何用戶身份(包括admin)登錄,以及創建具有任意角色(例如admin)的帳戶。 即使禁用了註冊並且「登錄」小部件未處於活動狀態,也可以利用這些問題。
需要特別注意的是,此特定漏洞會影響The Plus Addons for Elementor商業版本的用戶,而不是免費版本,而不是核心Elementor。
該插件的作者在披露後推出了部分修補的版本4.1.6,然後發布了第二個版本4.1.7,以更全面地解決該問題。
Wordfence報告說,他們仍在阻止使用未修補程序的網站上的嘗試。 他們已阻止來自特定用戶名的1900次站點接管嘗試,阻止了來自特定電子郵件的1170次嘗試,並在過去一周中阻止了4,000次嘗試。 攻擊者仍將目標鎖定為尚未更新為補丁程序版本的站點。
Wordfence威脅分析師Chloe Chamberland在報告中說:「有證據表明,在此之前,它已經被積極利用了大約5天。」 Wordfence Live 今天放映。 「到目前為止,我們妥協的最早日期是3月5日。 幾天來一直存在一個漏洞,除了這個要出去利用它的攻擊者以外,沒人真正知道。」
那些被利用了站點的人已經看到創建了惡意管理員帳戶。 其他人則經歷了他們站點上每個URL重定向的問題,這使其很難清理。 攻擊者還一直在安裝名為「 WP Strongs」和「 WP Staff」的惡意插件。 那些無法訪問管理儀錶板的人將很難刪除這些插件。
建議安裝了Plus Addons插件的Elementor用戶更新到最新版本並檢查惡意插件和文件。 理想情況下,遭受漏洞利用的網站所有者應具有要還原的備份。 Chamberland今天結束了Wordfence Live廣播,通過引導用戶手動清理受攻擊的站點,包括替換wp-includes和wp-admin文件夾以及這些目錄之外的標準文件,來結束Wordfence Live廣播。 這 記錄 對於那些正在努力清理損害的人可能會有所幫助。
像這樣:
像載入中…