به گزارش the hacker news آسیب پذیری خطرناک المنتور پرو در رده High Risk طبقه بندی تمام نسخه ها از ورژن Elementor Pro 3.11.6 و به قبل را تهدید می کند. این آسیب پذیری در نسخه 3.11.7 در تاریخ 22 March توسط توسعه دهندگان پلاگین برطرف شد.
جزئیات آسیب پذیری خطرناک المنتور پرو
بهره برداری موفق از این نقص با شدت بالا، به مهاجم احراز هویت شده این امکان را میدهد تا یک وبسایت وردپرسی ووکامرس فعال را تصاحب کند.تیم امنیتی PatchStack در هشداری در تاریخ 30 March اعلام کرد: “این آسیب پذیری امکان آن را فراهم میکند تا یک کاربر مخرب صفحه ثبت نام را درصورت غیرفعال بودن، فعال و نقش پیشفرض را به مدیر تغییر دهد. بنابراین میتواند یک کاربر جدید ایجاد کند که بطور مستقیم دارای سطح دسترسی مدیریت (administrator) میباشد.”همچنین اعلام کردند: “پس از این، آن ها به احتمال زیاد سایت را به یک دامنه مخرب ریدایرکت کنند یا یک پلاگین یا درب پشتی (back-door) را جهت بهره برداری بیشتر در وب سایت آپلود کنند.”
جروم برواندت، محقق امنیت NinTechNet در 18 مارس 2023 این آسیب پذیری کشف و گزارش داد.
Patchstack همچنین خاطرنشان کرد که این نقص در حال حاضر از چندین آدرس IP که قصد بارگذاری فایلهای آرشیو PHP و ZIP دلخواه را دارند مورد سوء استفاده قرار میگیرد.
به کاربران افزونه المنتور پرو پیشنهاد میشود که در اسرع وقت افزونه خود را جهت کاهش تهدیدات احتمالی به نسخه 3.11.7 یا 3.12 (آخرین نسخه) بروزرسانی کنند.
این توصیه یک سال پس از آن ارائه میشود که مشخص شد افزونه Essential Addons for Elementor دارای یک آسیب پذیری حیاتی است که منجر به اجرای کد دلخواه در وب سایت های در معرض خطر میشود.
هفته گذشته، وردپرس بروزرسانی خودکاری را برای رفع یک باگ مهم دیگر در افزونه پرداخت ووکامرس (WooCommerce Payments) منتشر کرد که به مهاجمان احراز هویت نشده، اجازه دسترسی به سایت با دسترسی مدیر (Administrator) را میداد.
No comment