使用Elementor和Beaver编辑器构建网页的站长,如果你使用了版本低于等于1.20.0的Ultimate Addons for Elementor和低于等于1.24.0的Ultimate Addons for Beaver Builder,那么请尽快升级。
安全研究人员已经在这两个广泛使用的扩展插件中发现了一个关键但易于利用的身份验证绕过漏洞,该漏洞可能使远程攻击者无需任何密码即可获得对站点的管理访问权限。
更令人担忧的是,攻击者已经在发现此漏洞后的两天内开始在大范围利用此漏洞,以破坏易受攻击的WordPress网站并安装恶意后门以供以后访问。 由网络安全服务MalCare的研究人员发现,该漏洞存在于两个插件都允许WordPress帐户持有者(包括管理员)通过Facebook和Google登录机制进行身份验证的方式。
根据该漏洞的通报,由于在用户通过Facebook或Google登录时缺少对身份验证方法的检查,因此容易受到攻击的插件欺骗,允许恶意用户像其他任何目标用户一样登录,而无需输入任何密码。
在发给《黑客新闻》的电子邮件中,WebARX确认攻击者在将dmp.zip文件上传到目标WordPress服务器上后,将伪造的wp-xmlrpc.php后门文件添加到网站根目录中,同时安装伪造的SEO统计插件。
“要利用此漏洞,黑客需要使用站点管理员用户的电子邮件ID。在大多数情况下,可以很容易地检索到这些信息。”
MalCare
MalCare于周三发现了此漏洞,该漏洞影响了以下列出的插件版本,并在同一天向开发人员报告了此漏洞,然后开发人员迅速解决了该问题,并在短短7个小时内发布了两个补丁版本。
- Ultimate Addons for Elementor <= 1.20.0
- Ultimate Addons for Beaver Builder <= 1.24.0
所以,如果您还在以上版本或更低版本的插件,请及时更新到 Ultimate Addons for Elementor 1.20.1 和 Ultimate Addons for Beaver Builder 1.24.1 版本以上。
转至WP大学
