Xakep #305. Многошаговые SQL-инъекции
Эксперты компании Wordfence предупредили, что 6 мая хакеры начали эксплуатировать критические уязвимости в WordPress-плагинах Elementor Pro и Ultimate Addons for Elementor. Баги могут использоваться для удаленного выполнения произвольного кода и полной компрометации уязвимых сайтов.
Elementor Pro — это платный плагин, насчитывающий свыше 1 000 000 активных установок. Он помогает пользователям создавать собственные сайты на базе WordPress с помощью встроенных конструкторов тем и виджетов, а также поддержки кастомных CSS-решений.
В Elementor Pro была обнаружена RCE-проблема, получившая статус критической. Баг позволяет злоумышленникам, имеющим доступ на уровне простого пользователя, загружать произвольные файлы на целевые сайты, а также удаленно выполнять на них произвольный код. На момент начала атак эта уязвимость представляла сбой 0-day проблему.
Аналитики пишут, что злоумышленники используют эту уязвимостью для установки бэкдоров и веб-шеллов (то есть обеспечивают себе доступ к скомпрометированным сайтам), получают привилегии администратора и полностью переводят ресурс под свой контроль.
Если же у хакеров нет пользовательского доступа к ресурсу, они могут использовать вторую уязвимость, затрагивающую плагин Ultimate Addons for Elementor, установленный более чем на 110 000 сайтов. Брешь в этом плагине поможет атакующим зарегистрироваться в качестве подписчиков на любом сайте, где запущен плагин (даже если регистрация пользователей отключена).
Для защиты от этих атак эксперты Wordfence рекомендуют администраторам как можно быстрее обновить Elementor Pro до версии 2.9.4, которая устраняет RCE-уязвимость. Пользователям Ultimate Addons for Elementor, в свою очередь, нужно обновить плагин до версии 1.24.2 или новее, где была исправлена проблема с регистрацией новых пользователей.