В ПЛАГИНАХ ULTIMATE ADDONS НАШЛИ КРИТИЧЕСКУЮ УЯЗВИМОСТЬ
17.12.19
Два плагина для WordPress, установленные на сотнях тысяч сайтов, содержат критическую уязвимость, позволяющую злоумышленникам перехватить управление веб-ресурсом.
Как выяснили ИБ-специалисты, наборы дополнений Ultimate Addons к конструкторам страниц Elementor и Beaver Builder допускают обход механизмов аутентификации и дают возможность удаленно получить доступ к сайту с правами администратора. Киберпреступники уже используют этот баг для установки бэкдоров на целевые хосты.
Что угрожает пользователям Ultimate Addons
Проблему в продуктах разработки Brainstorm Force обнаружили исследователи из компаний MalCare и WebARX. Специалисты выяснили, что в случае аутентификации с использованием аккаунтов Google или Facebook плагины не запрашивают токен идентификации, возвращаемый этими сервисами.
Таким образом, злоумышленник имеет возможность войти в систему управления сайтом, минуя ввод пароля. Для атаки киберпреступнику достаточно знать идентификатор электронной почты администратора WordPress, который часто хранится в открытом виде.
Баг получил от экспертов максимальный рейтинг опасности. Под угрозой оказались все сайты, на которых установлены комплекты Ultimate Addons for Elementor 1.0 и Ultimate Addons for Beaver Builder 1.0. Исследователи сообщили о проблеме разработчикам, и они исправили ошибку, добавив патч в версии 1.20.1 и 1.24.1 своих продуктов.
Специалисты зафиксировали эксплуатацию уязвимости в дикой природе. По словам представителей WebARX, злоумышленники используют баг, чтобы авторизоваться в WordPress и загрузить файл tmp.zip для установки поддельного плагина Seo stats. Вредоносное расширение добавляет бэкдор-скрипт wp-xmlrpc.php в корневой каталог уязвимого сайта, после чего к нему начинают поступать запросы с различных IP-адресов.
В мае этого года критический баг нашли в WordPress-плагине Convert Plus. Расширение, предназначенное для добавления на сайт различных маркетинговых инструментов, позволяло атакующему создавать пользователя с правами администратора. Уязвимость в продукте, который используют более 100 тыс. сайтов, получила от экспертов 10 баллов из 10 возможных по шкале CVSS.
Threatpost
17.12.19
Два плагина для WordPress, установленные на сотнях тысяч сайтов, содержат критическую уязвимость, позволяющую злоумышленникам перехватить управление веб-ресурсом.
Как выяснили ИБ-специалисты, наборы дополнений Ultimate Addons к конструкторам страниц Elementor и Beaver Builder допускают обход механизмов аутентификации и дают возможность удаленно получить доступ к сайту с правами администратора. Киберпреступники уже используют этот баг для установки бэкдоров на целевые хосты.
Проблему в продуктах разработки Brainstorm Force обнаружили исследователи из компаний MalCare и WebARX. Специалисты выяснили, что в случае аутентификации с использованием аккаунтов Google или Facebook плагины не запрашивают токен идентификации, возвращаемый этими сервисами.
Таким образом, злоумышленник имеет возможность войти в систему управления сайтом, минуя ввод пароля. Для атаки киберпреступнику достаточно знать идентификатор электронной почты администратора WordPress, который часто хранится в открытом виде.
Баг получил от экспертов максимальный рейтинг опасности. Под угрозой оказались все сайты, на которых установлены комплекты Ultimate Addons for Elementor 1.0 и Ultimate Addons for Beaver Builder 1.0. Исследователи сообщили о проблеме разработчикам, и они исправили ошибку, добавив патч в версии 1.20.1 и 1.24.1 своих продуктов.
Специалисты зафиксировали эксплуатацию уязвимости в дикой природе. По словам представителей WebARX, злоумышленники используют баг, чтобы авторизоваться в WordPress и загрузить файл tmp.zip для установки поддельного плагина Seo stats. Вредоносное расширение добавляет бэкдор-скрипт wp-xmlrpc.php в корневой каталог уязвимого сайта, после чего к нему начинают поступать запросы с различных IP-адресов.
В мае этого года критический баг нашли в WordPress-плагине Convert Plus. Расширение, предназначенное для добавления на сайт различных маркетинговых инструментов, позволяло атакующему создавать пользователя с правами администратора. Уязвимость в продукте, который используют более 100 тыс. сайтов, получила от экспертов 10 баллов из 10 возможных по шкале CVSS.
Threatpost
