上周Seravo和WP的安全Charged 研究人员于 2021 年 3 月 8 日报告了 Elementor 的 Plus Addons 中的严重零日漏洞,WPScan 将其归类为身份验证绕过漏洞:

恶意行为者正在积极利用此插件绕过身份验证,允许未经身份验证的用户以任何用户(包括管理员)身份登录并使用任意(例如管理员)帐户创建角色。即使禁用注册并且登录小部件未激活,也可以利用这些问题。

请务必注意,此特定漏洞会影响商业版 The Plus Addons for Elementor 的用户,而不是免费版和核心 Elementor。

插件作者在披露后推出了部分补丁的4.1.6版本,随后发布了第二个版本4.1.7以更全面地解决问题。

Wordfence 报告说他们仍在阻止对未修补网站的尝试。他们阻止了 1,900 次来自特定用户名的网站接管尝试,1,170 次来自特定电子邮件的尝试,以及过去一周的 4,000 次尝试。攻击者仍然以尚未更新到补丁版本的网站为目标。

有证据表明,在此之前它已经被积极利用了大约 5 天,”Wordfence 威胁分析师 Chloe Chamberland 在今天的 Wordfence Live 放映中说。 “到目前为止,我们达成妥协的最早日期是 3 月 5 日。这个漏洞已经存在好几天了,除了这个要利用它的攻击者之外,没有人真正知道它。”

那些谁被识别利用该站点的人已经看到创建了恶意管理员帐户。其他人在其网站上的每个 URL 重定向时都遇到问题,因此难以清理。攻击者还一直在安装名为“WP Strongs”和“WP Staff”的恶意插件。那些无法访问管理仪表板的人将很难删除这些插件。

建议安装了 Plus Addons 的 Elementor 用户更新到最新版本并检查恶意插件和文件。理想情况下,遭受攻击的网站所有者应该有一个备份来恢复。 Chamberland 今天结束了 Wordfence 直播,指示用户手动清理受感染的网站,包括替换 wp-includes 和 wp-admin 文件夹以及这些目录之外的标准文件。此日志可能对那些试图清理损坏的人有所帮助。

像这样:

图片加载中...

来源