Hơn 12 triệu website WordPress đang dùng plugin Elementor Pro

Hacker hiện khai thác lỗ hổng bảo mật được phát hiện vào giữa tháng 3, lỗi này đến từ plugin tạo trang web Elementor Pro dành cho WordPress.

Theo The Hacker News, lỗ hổng bảo mật được mô tả là kiểm soát truy cập bị hỏng, ảnh hưởng đến các phiên bản 3.11.6 trở về trước. Lỗi này đã được vá trong phiên bản 3.11.7 phát hành vào ngày 22/3. Trong ghi chú phát hành bản vá, công ty có trụ sở tại Tel Aviv (Israel) cho biết đã cải thiện bảo mật trên các thành phần của WooCommerce. Hiện Elementor Pro có hơn 12 triệu website WordPress đang sử dụng.

Việc khai thác thành công lỗ hổng này cho phép hacker được xác thực hoàn thành việc tiếp quản website WordPress đã bật WooCommerce. Điều này giúp kẻ tấn công có thể bật trang đăng ký (nếu bị tắt) và đặt vai trò người dùng mặc định thành quản trị viên. Tiếp đến, họ có thể chuyển hướng website đến một tên miền độc hại khác hoặc tải lên một plugin hoặc cửa hậu (backdoor) để tiếp tục khai thác website nạn nhân.

Nhà nghiên cứu bảo mật tại NinTechNet Jerome Bruandet được ghi nhận phát hiện và báo cáo lỗ hổng bảo mật vào ngày 18/3. Lỗ hổng hiện bị lạm dụng từ một số địa chỉ IP có ý định tải lên các tập tin PHP và ZIP. Người dùng plugin Elementor Pro được khuyến cáo nên cập nhật lên phiên bản 3.11.7 hoặc 3.12.0 càng sớm càng tốt để giảm thiểu các mối đe dọa.

Lỗi này được phát hiện hơn 1 năm sau khi plugin Essential Addons for Elementor bị tìm thấy có chứa một lỗ hổng nghiêm trọng, có thể dẫn đến việc thực thi mã tùy ý trên các trang web bị xâm nhập. WordPress vào tuần trước cũng phát hành bản cập nhật tự động để khắc phục một lỗi nghiêm trọng khác trong plugin WooCommerce Payment, cho phép kẻ tấn công chưa xác thực có thể nâng quyền thành quản trị viên.

Có thể bạn quan tâm

Theo báo cáo mới nhất của ConsumerLab từ Ericsson (NASDAQ: ERIC), các ứng dụng GenAI (AI tạo sinh) đang trở thành một yếu tố quan trọng thúc đẩy sự quan tâm ngày càng tăng của người dùng smartphone 5G toàn cầu đối với kết nối vượt trội — đảm bảo kết nối ổn định, tốc độ cao khi người dùng cần nhất.