Computer >> Máy Tính >  >> Lập trình >> HTML

Lỗ hổng nghiêm trọng được tìm thấy trên các plugin 'Ultimate Addons cho Elementor' và 'Ultimate Addons cho Beaver Builder'

Plugin dễ bị tổn thương:

  • Các trình bổ trợ cuối cùng cho Elementor
  • Các công cụ bổ trợ cuối cùng cho Beaver Builder

Mức độ nghiêm trọng: 10

Mức độ Khai thác: Rất dễ dàng

Lỗ hổng bảo mật được tiết lộ: 11-12-2019

Ngày phát hành bản vá: 11-12-2019

Phiên bản đã vá:

  • Các công cụ bổ trợ cuối cùng cho Beaver Builder - 1.2.4.1
  • Các trình bổ trợ cuối cùng cho Elementor - 1.20.1

Ultimate Addons là một plugin cao cấp phổ biến cung cấp cho các trang web WordPress quyền truy cập vào một gói tiện ích bổ sung. Nó giúp việc tạo và thiết kế trang web dễ dàng hơn nhiều, đặc biệt là đối với những người không am hiểu về công nghệ.

Plugin được xây dựng bởi Brainstorm Force, một nhà phát triển chuyên nghiệp. Họ có hàng chục plugin đang được sử dụng bởi hàng nghìn trang web. Plugin Ultimate Addons có sẵn cho Elementor và Beaver Builder và có hàng trăm nghìn lượt cài đặt đang hoạt động.

Hôm qua, trong các cuộc kiểm tra bảo mật thường xuyên của chúng tôi, các nhà nghiên cứu bảo mật của chúng tôi đã rất ngạc nhiên khi phát hiện ra một lỗ hổng trong các plugin. Đó là một lỗ hổng bảo mật lớn điều đó có thể cho phép tin tặc giành quyền truy cập quản trị vào bất kỳ trang web WordPress nào đã cài đặt plugin. Điều này có nghĩa là tin tặc có thể giành toàn quyền kiểm soát trang web của bạn nếu bạn đang sử dụng plugin và có thể tạo các tệp độc hại (như phần mềm độc hại favicon.ico) để làm hỏng trang web của bạn.

Là người đầu tiên phát hiện ra lỗ hổng bảo mật, chúng tôi đã tiến hành thẩm định riêng và liên hệ với nhóm Ultimate Addons để thông báo cho họ về lỗ hổng mà chúng tôi đã tìm thấy.

Team Brainstorm đã nhanh chóng khắc phục lỗ hổng bảo mật. Họ đã phát hành một bản vá trong vòng 7 giờ và thông báo cho tất cả khách hàng của họ.

Bạn có bị ảnh hưởng bởi lỗ hổng này không?

Nếu bạn đang sử dụng plugin Ultimate Addons, chúng tôi khuyên bạn nên cập nhật phiên bản mới nhất ngay lập tức! Phiên bản dễ bị tấn công là 1.0. Bạn cần cập nhật lên phiên bản mới nhất được phát hành vào ngày 11 tháng 12 năm 2019.

  • Đối với Phần bổ trợ cuối cùng cho Beaver Builder, phiên bản an toàn là 1.2.4.1.
  • Đối với các Addon cuối cùng cho Elementor, phiên bản an toàn là 1.20.1.

Nếu trang web của bạn đang sử dụng phiên bản cũ hơn, nó sẽ khiến trang web của bạn dễ bị tin tặc tấn công.

Chúng tôi đã phát hiện lỗ hổng này đang bị khai thác. Nếu bạn muốn kiểm tra xem trang web của mình có bị khai thác hay không, hãy sử dụng Plugin bảo mật MalCare của chúng tôi. Nó sẽ quét trang web của bạn và phát hiện bất kỳ hoạt động đáng ngờ hoặc hack nào trên trang web của bạn.

Chi tiết lỗ hổng bảo mật

Hôm qua, nhóm của chúng tôi đã thấy hoạt động bất thường giữa các trang web. Điều này khiến nhóm của chúng tôi tìm thấy lỗ hổng bảo mật đang bị khai thác trong một số trang web.

Lỗ hổng mà chúng tôi tìm thấy xảy ra ngay sau khi bạn cài đặt plugin trên trang web của mình. Nếu một tin tặc biết ID email của bất kỳ người dùng nào trên trang web WordPress, họ có thể đưa ra một yêu cầu đặc biệt và giành quyền kiểm soát của quản trị viên.

Để khai thác lỗ hổng, tin tặc cần sử dụng ID email của người dùng quản trị trang web. Trong hầu hết các trường hợp, thông tin này có thể được truy xuất khá dễ dàng. Một số nhà cung cấp dịch vụ lưu trữ cũng giúp bạn dễ dàng tìm thấy ID email quản trị của một trang web. Do đó, chúng tôi đã liên hệ với các nhà cung cấp dịch vụ lưu trữ để thông báo cho họ về phát hiện của chúng tôi nhằm giảm thiểu thiệt hại có thể xảy ra.

Tác động của lỗ hổng bảo mật:Rủi ro là gì?

Nếu lỗ hổng này bị tin tặc tìm thấy, nó có thể khiến hàng trăm nghìn trang web WordPress có nguy cơ bị tấn công!

Nếu một tin tặc có được quyền truy cập quản trị viên, sẽ không có gì cho biết họ sẽ sử dụng trang web của bạn để làm gì. Có một danh sách dài các cách hack trang web WordPress phổ biến mà chúng có thể chạy, chẳng hạn như

  • đánh cắp dữ liệu,
  • chuyển hướng khách truy cập đến các trang web spam,
  • bán thuốc bất hợp pháp và sản phẩm giả mạo,
  • sử dụng trang web của bạn để khởi động các cuộc tấn công vào các trang web lớn hơn,
  • sử dụng các kỹ thuật SEO mũ đen để xếp hạng sản phẩm của riêng họ (nên đọc:hack từ khóa Japenese), v.v.
  • Chèn các liên kết spam từ các trang của bạn vào trang web spam của họ

Bị tấn công là vô cùng bất lợi cho trang web của bạn và doanh nghiệp của bạn. Hơn nữa, chi phí khôi phục có thể tăng vọt rất nhanh chóng!

QUAN TRỌNG:Cập nhật Plugin ngay lập tức!

Nếu bạn đang sử dụng plugin Elementor Ultimate Addons hoặc Ultimate Beaver Builder trên trang web WordPress của mình, bạn cần cập nhật chúng ngay bây giờ. Bạn có thể thực hiện việc này từ trang tổng quan wp-admin của mình.

Lỗ hổng nghiêm trọng được tìm thấy trên các plugin Ultimate Addons cho Elementor và Ultimate Addons cho Beaver Builder
Trang tổng quan> Cập nhật

Nếu vì lý do nào đó mà bạn không thể cập nhật chúng từ bảng điều khiển wp-admin, chúng tôi thực sự khuyên bạn nên cài đặt Plugin bảo mật MalCare. Từ bảng điều khiển MalCare độc ​​lập, bạn có thể cập nhật các plugin trên trang web của mình hoặc xóa chúng hoàn toàn.

Lỗ hổng nghiêm trọng được tìm thấy trên các plugin Ultimate Addons cho Elementor và Ultimate Addons cho Beaver Builder
Bảng điều khiển MalCare

Nếu bạn muốn cập nhật plugin theo cách thủ công, đây là cách bạn có thể thực hiện:

  1. Tải xuống phiên bản mới nhất của Ultimate Addons cho Beaver Builder hoặc đăng nhập vào Ultimate Addons cho Elementor và tải xuống phiên bản mới nhất.
  2. Gỡ cài đặt phiên bản trước khỏi trang web của bạn. Điều này có nghĩa là bạn cần phải hủy kích hoạt và xóa plugin. (Bạn sẽ không mất bất kỳ dữ liệu nào.)
  3. Tiếp theo, tải lên và cài đặt phiên bản mới nhất của Ultimate Addons mà bạn vừa tải xuống.

Trang web WordPress của bạn đã bị tấn công chưa?

Nếu bạn đã bị tấn công hoặc nghi ngờ mình đã bị tấn công, chúng tôi khuyên bạn nên tận dụng các dịch vụ phát hiện và loại bỏ phần mềm độc hại của MalCare ngay lập tức. Cài đặt plugin MalCare Security và nó sẽ quét toàn bộ trang web của bạn. Nếu nó tìm thấy bất kỳ phần mềm độc hại nào, bạn sẽ được cảnh báo. Bạn có thể dọn sạch bản hack ngay lập tức bằng tính năng tự động xóa của chúng tôi.

Lỗ hổng nghiêm trọng được tìm thấy trên các plugin Ultimate Addons cho Elementor và Ultimate Addons cho Beaver Builder
MalCare Auto-Clean

Quy trình tự động sẽ xóa sạch trang web bị tấn công của bạn trong vòng vài phút. Sau đó, MalCare sẽ tiếp tục cung cấp cho bạn biện pháp bảo vệ chống lại các cuộc tấn công như thế này trong tương lai.

Đề xuất đọc:Cách xóa hack chủ đề WordPress.

Một phần mềm độc hại khác đang gây xôn xao tin tức là phần mềm độc hại WP-VCD. Dưới đây là hướng dẫn về cách xóa phần mềm độc hại WP-VCD.

An ninh là một nỗ lực không ngừng và cần được giám sát thường xuyên. Theo dõi MalCare để biết thêm thông tin cập nhật về bảo mật.