يستغل ممثلو التهديد غير المعروفين بشكل نشط ثغرة أمنية تم تصحيحها مؤخرًا في المكون الإضافي لمنشئ موقع الويب Elementor Pro لـ WordPress.
الخلل ، الموصوف كحالة من تعطل التحكم في الوصول ، يؤثر على الإصدارات 3.11.6 وما قبلها. تمت معالجته من قبل المشرفين على البرنامج المساعد في الإصدار 3.11.7 الذي تم إصداره في 22 مارس.
قال Elementor في ملاحظات الإصدار الخاصة به: "تم تحسين تطبيق أمان الكود في مكونات WooCommerce". يقدر أن المكون الإضافي المتميز يستخدم في أكثر من 12 مليون موقع.
يتيح الاستغلال الناجح للعيب شديد الخطورة للمهاجم المصادق عليه إكمال الاستيلاء على موقع WordPress الذي تم تمكين WooCommerce فيه.
قال Patchstack في تنبيه بتاريخ 30 مارس : "هذا يجعل من الممكن للمستخدم الضار تشغيل صفحة التسجيل (إذا تم تعطيله) وتعيين دور المستخدم الافتراضي إلى المسؤول حتى يتمكن من إنشاء حساب له امتيازات المسؤول على الفور". 2023.
"بعد ذلك ، من المحتمل إما إعادة توجيه الموقع إلى مجال ضار آخر أو تحميل مكون إضافي ضار أو باب خلفي لاستغلال الموقع بشكل أكبر."
تم اعتماد اكتشاف الثغرة الأمنية والإبلاغ عنها في 18 مارس 2023 ، وهو الباحث الأمني في NinTechNet جيروم بروانديت.كما أشار Patchstack إلى أن الخلل يتم إساءة استخدامه حاليًا في البرية من عدة عناوين IP تهدف إلى تحميل ملفات أرشيف PHP و ZIP عشوائية.
يوصى مستخدمي المكون الإضافي Elementor Pro بالتحديث إلى 3.11.7 أو 3.12.0 ، وهو أحدث إصدار ، في أقرب وقت ممكن للتخفيف من التهديدات المحتملة.
يأتي الاستشارة بعد أكثر من عام من اكتشاف أن المكون الإضافي Essential Addons for Elementor يحتوي على ثغرة أمنية خطيرة قد تؤدي إلى تنفيذ تعليمات برمجية عشوائية على مواقع الويب المخترقة.
في الأسبوع الماضي ، أصدر WordPress تحديثات تلقائية لإصلاح خطأ فادح آخر في المكوّن الإضافي WooCommerce Payments الذي سمح للمهاجمين غير المعتمدين بالحصول على وصول المسؤول إلى المواقع المعرضة للخطر.