Դեռևս չբացահայտված հաքերներն ակտիվորեն օգտագործում են Elementor Pro վեբ կայք ստեղծող հավելվածի անվտանգության խոցելիությունը WordPress-ի համար:
Այն մասնավորապես ազդում է 3.11.6 և դրանից ցածր տարբերակների վրա: Մարտի 22-ին թողարկված 3.11.7 տարբերակում տվյալ հարցին անդրադարձ են կատարել plugin-ի սպասարկողները:
«Հարկավոր է բարելավված կոդերի անվտանգությունը կիրառել WooCommerce բաղադրիչներում», – ասվում է Թել Ավիվում գործող ընկերության զեկույցներում: Պրեմիում plugin-ը ենթակա է կիրառման ավելի քան 12 միլիոն կայքերում:
«Սա կասկածելի օգտատերերին թույլ է տալիս ակտիվացնել գրանցման էջը (եթե այն անջատված է) և ստանձնել իրական օգտատիրոջ դերը որպես ադմինիստրատոր, որպեսզի կարողանան ստեղծել օգտահաշիվներ, որոնք անմիջապես ունեն ադմինիստրատորի արտոնություններ», – նշվում է մարտի 30-ի տվյալներով փոխանցված Patchstack-ի ահազանգում:
Patchstack-ը նաև նշում, որ այս խոցելիությունն ու վրիպակը ներկայումս լայն կիրառմամբ չարաշահվում է տարբեր IP հասցեներից, որոնք մտադիր են վերբեռնել կամայական PHP և ZIP արխիվային ֆայլեր:
Elementor Pro plugin-ի օգտատերերին խորհուրդ է տրվում հնարավորինս արագ թարմացնել ներկայիս տարբերակները և անցնել՝ 3.11.7 / 3.12.0 տարբերակները, որոնք հանդիսանում են վերջին թարմացումները և կարող են դիմակայել անցանկալի հարձակումներին:
WordPress-ն անցյալ շաբաթ թողարկեց նոր ավտոմատ թարմացումներ՝ WooCommerce Payments հավելվածի ևս մեկ վրիպակ շտկելու համար, որը հաքերներին թույլ էր տալիս մուտք գործել խոցելի կայքեր:
Աղբյուրը՝ https://thehackernews.com/
