未知的威脅行為者正在積極利用WordPress的Elementor Pro網站構建器插件中最近修補的安全漏洞。

該漏洞被描述為破壞訪問控制的情況，影響3.11.6及更早版本。插件維護者在3月22日發(fā)布的3.11.7版本中解決了這個問題。

“WooCommerce組件中改進的代碼安全執(zhí)行”，總部位于特拉維夫的公司?說在其發(fā)行說明中。高級插件是?估計將在超過1200萬個網站上使用。

成功利用該嚴重漏洞可使經過身份驗證的攻擊者完成對啟用了WooCommerce的WordPress網站的接管。

“這使得惡意用戶可以打開注冊頁面（如果禁用）并將默認用戶角色設置為管理員，以便他們可以創(chuàng)建立即具有管理員權限的帳戶，”Patchstack 說在2023年3月30日的警報中。

“在此之后，他們可能會將網站重定向到另一個惡意域，或者上傳惡意插件或后門以進一步利用該網站?！?/p>

貸方?發(fā)現(xiàn)并報告漏洞2023年3月18日，NinTechNet安全研究員杰羅姆Bruandet

Patchstack進一步指出，該漏洞目前正在被幾個IP地址濫用，意圖上傳任意PHP和ZIP存檔文件。

建議Elementor Pro插件的用戶盡快更新到最新版本3.11.7或3.12.0，以減輕潛在的威脅。

該公告是在Elementor插件的Essential Addons被發(fā)現(xiàn)包含一個嚴重漏洞后一年多發(fā)布的，該漏洞可能導致在受感染的網站上執(zhí)行任意代碼。

上周，WordPress發(fā)布了自動更新，以修復另一個嚴重的錯誤?WooCommerce支付插件這使得未經身份驗證的攻擊者能夠獲得對易受攻擊站點的管理員訪問權限。

稿源：TheHackerNews.com

關注公眾號：拾黑（shiheibook）了解更多

友情鏈接：

關注數據與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/
安全、綠色軟件下載就上極速下載站：https://www.yaorank.com/