WordPress用户请注意!
如果你正在使用Beaver Builder
的Ultimate插件或Elementor
的Ultimate插件,并且没有及时将其更新到最新版本,那么你的网站很容易受到黑客攻击。
近期,有安全研究人员在两个被广泛使用的高级WordPress插件中发现了一个高危且易于利用的身份验证绕过漏洞,可帮助远程攻击者在不知道任何密码的情况下获得对站点的管理访问权限。
更令人担忧的是,已发现有攻击者利用这一漏洞,攻陷某些WordPress网站,还安装恶意后门。
这两个插件是由软件公司Brainstorm Force开发的,目前正为使用Elementor和Beaver Builder框架的成千上万个WordPress网站提供技术支持,为网站管理员和设计者提供更多的小部件、模块来扩展他们网站的功能。
而漏洞发现者是网络安全服务MalCare的研究人员,这两个插件原本是让包括管理员在内的WordPress用户通过Facebook和谷歌的登录机制进行身份验证。
根据漏洞通报,由于在用户通过Facebook或谷歌登录时,身份验证方法缺乏安全检查,导致插件可能被恶意欺骗,使攻击者能以任何其他目标用户的身份登录,而且不需要任何密码。
WebARX的研究人员解释道:“Facebook和谷歌认证方法并没有验证Facebook和谷歌返回的令牌,并且由于不需要密码,所以也没有检查密码。”
“要利用这个漏洞,黑客需要使用网站管理员的电子邮件ID。而在大多数情况下,这些信息都可以轻易得到。”
WebARX在发给《黑客新闻》的一封电子邮件中证实,攻击者往目标WordPress服务器上传了一个tmp.zip文件,并正滥用这个漏洞安装一个伪造的SEO统计插件。
MalCare在本周三发现了这个漏洞,并在同一天报告给开发人员。而开发人员也很快解决了这个问题,并在7小时内发布了这两个插件的修复版本。
Ultimate Addons for Elementor <= 1.20.0
Ultimate Addons for Beaver Builder <= 1.24.0
强烈建议所有受影响网站的管理员尽快安装安全补丁。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://thehackernews.com/2019/12/wordpress-elementor-beaver.html