Elementor 和 Beaver 是在國外主題中非常流行的WordPress可視化編輯器插件,安裝量分別在300萬和40萬以上。而今天我們要說的漏洞,并不涉及 Elementor 和 Beaver 本身,而是它們的擴(kuò)展插件:
- Ultimate Addons for Elementor
- Ultimate Addons for Beaver Builder
這兩個(gè)擴(kuò)展插件都是為可視化編輯器添加更多小工具、模板等,以便用戶可以更加方面地設(shè)計(jì)頁面,由于它們的功能非常豐富,用戶群體非常大,絕大多數(shù)使用 Elementor 和 Beaver 的用戶一般都會(huì)安裝使用。
安全研究人員已經(jīng)在這兩個(gè)廣泛使用的擴(kuò)展插件中發(fā)現(xiàn)了一個(gè)關(guān)鍵但易于利用的身份驗(yàn)證繞過漏洞,該漏洞可能使遠(yuǎn)程攻擊者無需任何密碼即可獲得對(duì)站點(diǎn)的管理訪問權(quán)限。
更令人擔(dān)憂的是,攻擊者已經(jīng)在發(fā)現(xiàn)此漏洞后的兩天內(nèi)開始在大范圍利用此漏洞,以破壞易受攻擊的WordPress網(wǎng)站并安裝惡意后門以供以后訪問。 由網(wǎng)絡(luò)安全服務(wù)MalCare的研究人員發(fā)現(xiàn),該漏洞存在于兩個(gè)插件都允許WordPress帳戶持有者(包括管理員)通過Facebook和Google登錄機(jī)制進(jìn)行身份驗(yàn)證的方式。
根據(jù)該漏洞的通報(bào),由于在用戶通過Facebook或Google登錄時(shí)缺少對(duì)身份驗(yàn)證方法的檢查,因此容易受到攻擊的插件欺騙,允許惡意用戶像其他任何目標(biāo)用戶一樣登錄,而無需輸入任何密碼。
在發(fā)給《黑客新聞》的電子郵件中,WebARX確認(rèn)攻擊者在將dmp.zip文件上傳到目標(biāo)WordPress服務(wù)器上后,將偽造的wp-xmlrpc.php后門文件添加到網(wǎng)站根目錄中,同時(shí)安裝偽造的SEO統(tǒng)計(jì)插件。
“要利用此漏洞,黑客需要使用站點(diǎn)管理員用戶的電子郵件ID。在大多數(shù)情況下,可以很容易地檢索到這些信息。”
MalCare
MalCare于周三發(fā)現(xiàn)了此漏洞,該漏洞影響了以下列出的插件版本,并在同一天向開發(fā)人員報(bào)告了此漏洞,然后開發(fā)人員迅速解決了該問題,并在短短7個(gè)小時(shí)內(nèi)發(fā)布了兩個(gè)補(bǔ)丁版本。
- Ultimate Addons for Elementor <= 1.20.0
- Ultimate Addons for Beaver Builder <= 1.24.0
所以,如果您還在以上版本或更低版本的插件,請(qǐng)及時(shí)更新到 Ultimate Addons for Elementor 1.20.1 和 Ultimate Addons for Beaver Builder 1.24.1 版本以上。
