Pelaku ancaman secara aktif mengeksploitasi kelemahan tingkat keparahan tinggi di plugin WordPress Elementor Pro yang digunakan oleh lebih dari sebelas juta situs web
Perusahaan keamanan WordPress PatchStack memperingatkan kerentanan tingkat keparahan tinggi di plugin WordPress Elementor Pro yang saat ini sedang dieksploitasi oleh pelaku ancaman di alam liar.
Elementor Pro adalah plugin berbayar yang saat ini diinstal di lebih dari 11 juta situs web, memungkinkan pengguna untuk dengan mudah membuat situs web WordPress.Kerentanan ini dilaporkan pada 18 Maret oleh peneliti keamanan Jerome Bruandet dari NinTechNet.
.
Pakar melaporkan bahwa masalah tersebut berdampak pada Elementor Pro ketika diinstal di situs yang mengaktifkan WooCommerce. Masalah ini memengaruhi versi v3.11.6 dan semua versi sebelumnya, memungkinkan pengguna yang diautentikasi, seperti pelanggan toko atau anggota situs, mengubah setelan situs dan berpotensi menyebabkan pengambilalihan situs sepenuhnya.
"Elementor Pro, plugin pembuat halaman populer untuk WordPress, memperbaiki kerentanan kontrol akses yang rusak yang memengaruhi versi <=3.11.6 yang dapat memungkinkan pengambilalihan situs penuh." membaca saran yang diterbitkan oleh Bruanded.
Kekurangannya adalah kontrol akses yang rusak pada modul WooCommerce plugin ("elementor-pro / modules / woocommerce / module.php"), siapa pun dapat mengeksploitasi masalah ini untuk mengubah pengaturan WordPress di database. Cacat tersebut dieksploitasi melalui tindakan AJAX yang rentan, "pro_woocommerce_update_page_option," yang digunakan oleh editor bawaan Elementor.
Masalah ini berasal dari validasi input yang tidak tepat dan kurangnya pemeriksaan kemampuan untuk membatasi aksesnya ke pengguna dengan hak istimewa tinggi saja.
"Penyerang yang diautentikasi dapat memanfaatkan kerentanan untuk membuat akun administrator dengan mengaktifkan pendaftaran dan menetapkan peran default menjadi" administrator, "mengubah alamat email administrator atau, mengarahkan semua lalu lintas ke situs web berbahaya eksternal dengan mengubah siteurl di antara banyak kemungkinan lainnya," tulis Bruandet.
Bug Plugin Elementor dieksploitasi secara aktif
Peneliti PatchStack mengamati serangan dari beberapa alamat IP, kebanyakan dari mereka dari alamat IP berikut:
193.169.194.63
193.169.195.64
194.135.30.6
Para ahli juga melihat file yang diunggah dengan nama file berikut:
wp-resortpack.zip
WP-TINGKAT.php
lll.zip
Para peneliti juga melaporkan bahwa penyerang mengubah URL situs menjadi away[dot]trackersline[dot]com.
Para peneliti mendesak administrator situs WordPress yang menggunakan Elementor Pro, untuk segera meningkatkan ke versi 3.11.7 atau yang lebih baru (yang terbaru yang tersedia adalah 3.12.0).
