An toàn thông tin

Tin tặc khai thác lỗ hổng WordPress Elementor Pro: Hàng triệu trang web gặp rủi ro

Hạnh Tâm 15:38 02/04/2023

Tội phạm mạng đang tích cực khai thác lỗ hổng bảo mật được vá gần đây trong plugin Elementor Pro, công cụ xây dựng trang web dành cho WordPress.

Lỗ hổng, được mô tả là một trường hợp lỗi kiểm soát truy cập, ảnh hưởng đến các phiên bản 3.11.6 trở về trước và đã được những người bảo trì plugin xử lý trong phiên bản 3.11.7 phát hành vào ngày 22/3.

a1.jpg

Công ty có trụ sở tại Tel Aviv (Israel) cho biết: "Cải thiện việc thực thi bảo mật mã trong các thành phần WooC Commerce". Plugin này ước tính sẽ được sử dụng trên hơn 12 triệu trang web.

Đây là lỗ hổng có mức nghiêm trọng cao, nếu khai thác thành công, sẽ cho phép kẻ tấn công được xác thực chiếm được quyền kiểm soát trang web WordPress đã bật WooC Commerce.

Cảnh báo vào ngày 30/3/2023 của Patchstack cho biết: "Điều này giúp tác nhân độc hại có thể bật trang đăng ký (nếu bị tắt) và chuyển vai trò người dùng mặc định thành quản trị viên để có thể ngay lập tức tạo một tài khoản có đặc quyền của quản trị viên. Sau đó, chúng có thể chuyển hướng trang web đến một tên miền độc hại khác hoặc tải lên một plugin hay cửa hậu độc hại để tiếp tục khai thác trang web.”

Nhà nghiên cứu bảo mật NinTechNet Jerome Bruandet là người đã phát hiện và báo cáo lỗ hổng bảo mật vào ngày 18/3/2023.

Patchstack lưu ý thêm rằng, lỗ hổng hiện đang bị lạm dụng từ một số địa chỉ IP có ý định tải lên các tệp lưu trữ PHP và ZIP tùy ý.

Người dùng plugin Elementor Pro được khuyến cáo nên cập nhật lên các phiên bản mới nhất là 3.11.7 hoặc 3.12.0 càng sớm càng tốt để giảm thiểu các mối đe dọa tiềm ẩn.

Tuần trước, WordPress đã phát hành các bản cập nhật tự động để khắc phục một lỗi nghiêm trọng khác trong plugin các thanh toán WooC Commerce cho phép những kẻ tấn công không được xác thực có quyền truy cập của quản trị viên vào các trang web dễ bị tấn công.

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
  • Thái Nguyên hướng tới trung tâm ứng dụng blockchain của quốc gia
    Theo Chủ tịch UBND tỉnh Thái Nguyên Nguyễn Huy Dũng, Thái Nguyên đang hướng tới việc xây dựng trở thành một trung tâm đổi mới sáng tạo với những lĩnh vực như nghệ thuật số, tài sản số... Do đó, blockchain sẽ được sử dụng như một công cụ mới để giải quyết những vấn đề mà trước đây chưa làm được.
  • “Muốn đất nước vươn mình phải nghĩ khác, làm khác”
    TS Mai Liêm Trực, nguyên Tổng cục trưởng Tổng cục Bưu điện, nguyên Thứ trưởng Thường trực Bộ Bưu chính Viễn thông - người góp công lớn đưa internet về Việt Nam đã dành cho Nhân Dân hằng tháng cuộc trao đổi chung quanh Nghị quyết 57-NQ/TW về đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia của Bộ Chính trị vừa mới ban hành và những vấn đề mang tính chiến lược trong kỷ nguyên vươn mình của dân tộc.
  • Cuốn sách giải mã sự bí ẩn và chuyển hoá kỳ diệu của số 0
    Trong lịch sử nhân loại, hiếm có khái niệm nào vừa gây tranh cãi dữ dội lại vừa có sức ảnh hưởng sâu rộng như số 0.
  • “AI: Cơ hội và thách thức với công tác tuyên giáo”
    Sự trỗi dậy của AI đang làm biến đổi sâu sắc không chỉ công cụ truyền thông, mà cả cách con người tiếp cận sự thật, niềm tin và ý nghĩa. Trong làn sóng đó, trí thức không còn chỉ là người phân tích hay cung cấp thông tin, mà còn phải là người kiến tạo định hướng - cho cộng đồng, cho chính sách, và cho chính mình.
  • Phần mềm tống tiền khét tiếng và gây thiệt hại nhất mọi thời đại
    Ransomware (phần mềm tống tiền) và các băng nhóm tội phạm đứng sau chúng đã gây ra thiệt hại nghiêm trọng cho hàng triệu doanh nghiệp (DN) trên toàn cầu, với con số tổn thất lên đến hàng tỷ USD.
Đừng bỏ lỡ
Tin tặc khai thác lỗ hổng WordPress Elementor Pro: Hàng triệu trang web gặp rủi ro
POWERED BY ONECMS - A PRODUCT OF NEKO