Elementor, một plugin xây dựng trang web WordPress với hơn năm triệu lượt cài đặt đang hoạt động, đã được phát hiện là dễ bị tấn công bởi một lỗ hổng thực thi mã từ xa đã xác thực có thể bị lạm dụng để chiếm các trang web bị ảnh hưởng.
Các lỗ hổng plugin, tiết lộ lỗ hổng vào tuần trước, cho biết lỗi này đã được giới thiệu trong phiên bản 3.6.0 được phát hành vào ngày 22 tháng 3 năm 2022. Khoảng 37% người dùng plugin đang sử dụng phiên bản 3.6.x.
Các nhà nghiên cứu cho biết: “Điều đó có nghĩa là mã độc do kẻ tấn công cung cấp có thể được chạy bởi trang web. “Trong trường hợp này, có thể lỗ hổng có thể bị khai thác bởi ai đó không đăng nhập vào WordPress, nhưng nó có thể dễ dàng bị khai thác bởi bất kỳ ai đăng nhập vào WordPress có quyền truy cập vào bảng điều khiển quản trị WordPress.”
Tóm lại, vấn đề liên quan đến trường hợp tải tệp tùy ý lên các trang web bị ảnh hưởng, có khả năng dẫn đến thực thi mã.
Lỗi đã được giải quyết trong phiên bản mới nhất của Elementor, với Patchstack lưu ý rằng “lỗ hổng này có thể cho phép bất kỳ người dùng đã xác thực nào, bất kể họ được ủy quyền, thay đổi tiêu đề trang web, biểu trưng trang web, thay đổi chủ đề thành chủ đề của Elementor và tệ nhất là , tải các tệp tùy ý lên trang web. “
Tiết lộ được đưa ra hơn hai tháng sau khi Essential Addons for Elementor bị phát hiện có chứa một lỗ hổng nghiêm trọng có thể dẫn đến việc thực thi mã tùy ý trên các trang web bị xâm phạm.
.