行业资讯

立即注册 咨询客服

当前位置:首页 > 行业资讯> Elementor和Beaver Addons漏洞导致WordPress网站被黑

Elementor和Beaver Addons漏洞导致WordPress网站被黑

发布时间:2019年12月16日 10:01:54    来源: A5互联

如果您使用的是“ Beaver Builder的Ultimate Addons ”或“ Elementor的Ultimate Addons ”,并且您尚未将其更新为最新的可用版本,则您的网站很容易被黑。

安全研究人员已经在两个广泛使用的高级WordPress插件中发现了一个关键但易于利用的身份验证绕过漏洞,该漏洞可能使远程攻击者无需任何密码即可获得对站点的管理访问权限。

更令人担忧的是,机会主义攻击者已经在发现此漏洞后的两天内开始在野外利用此漏洞,以破坏易受攻击的WordPress网站并安装恶意后门以供以后访问。

这两个由软件开发公司Brainstorm Force制作的易受攻击的插件目前正在使用Elementor和Beaver Builder框架为数十万个WordPress网站提供支持,从而帮助网站管理员和设计人员使用更多的小部件,模块和页面模板来扩展其网站的功能。

由网络安全服务MalCare的研究人员发现,该漏洞存在于两个插件都允许WordPress帐户持有者(包括管理员)通过Facebook和Google登录机制进行身份验证的方式。

根据该漏洞的通报,由于在用户通过Facebook或Google登录时缺少对身份验证方法的检查,因此容易受到攻击的插件被欺骗,允许恶意用户像其他任何目标用户一样登录,而无需输入任何密码。

攻击者在目标WordPress服务器上上传了一个tmp.zip文件后,正在滥用这个漏洞安装一个伪造的SEO统计插件。

身份验证绕过漏洞已通过发行“ Elementor 1.20.1版的最终附件 ”和“ Beaver Builder 1.24.1版的最终附件 ”的版本进行修补,强烈建议尽快安装受影响的网站。