Lỗi RCE nghiêm trọng được báo cáo trong Plugin trình tạo trang web WordPress Elementor

Plugin trình tạo trang web WordPress Elementor

, một plugin xây dựng trang web WordPress với hơn năm triệu lượt cài đặt đang hoạt động, đã được phát hiện là dễ bị tấn công bởi một đã xác thực có thể bị lạm dụng để chiếm các trang web bị ảnh hưởng.

Các lỗ hổng plugin, tiết lộ lỗ hổng vào tuần trước, cho biết lỗi này đã được giới thiệu trong phiên bản 3.6.0 được phát hành vào ngày 22 tháng 3 năm 2022. Khoảng 37% người dùng plugin đang sử dụng phiên bản 3.6.x.

Các nhà nghiên cứu cho biết: “Điều đó có nghĩa là mã độc do kẻ tấn công cung cấp có thể được chạy bởi trang web. “Trong trường hợp này, có thể lỗ hổng có thể bị khai thác bởi ai đó không đăng nhập vào WordPress, nhưng nó có thể dễ dàng bị khai thác bởi bất kỳ ai đăng nhập vào WordPress có quyền truy cập vào bảng điều khiển quản trị WordPress.”

Tóm lại, vấn đề liên quan đến trường hợp tải tệp tùy ý lên các trang web bị ảnh hưởng, có khả năng dẫn đến thực thi mã.

Plugin trình tạo trang web WordPress Elementor

Lỗi đã được giải quyết trong phiên bản mới nhất của Elementor, với Patchstack lưu ý rằng “lỗ hổng này có thể cho phép bất kỳ người dùng đã xác thực nào, bất kể họ được ủy quyền, thay đổi tiêu đề trang web, biểu trưng trang web, thay đổi chủ đề thành chủ đề của Elementor và tệ nhất là , tải các tệp tùy ý lên trang web. “

Xem tiếp:   Hoa Kỳ trừng phạt 4 người Ukraine vì làm việc với Nga để hủy diệt Ukraine

Tiết lộ được đưa ra hơn hai tháng sau khi Essential Addons for Elementor bị phát hiện có chứa một lỗ hổng nghiêm trọng có thể dẫn đến việc thực thi mã tùy ý trên các trang web bị xâm phạm.

.

Related Posts

Check Also

Microsoft Phát hiện ra các lỗi nghiêm trọng trong các ứng dụng được cài đặt sẵn trên hàng triệu thiết bị Android

Bốn lỗ hổng nghiêm trọng cao đã được tiết lộ trong một khuôn khổ được …