Lỗ hổng WordPress Elementor Pro ảnh hưởng hàng triệu trang web  

Tin tặc đang khai thác một lỗ hổng đã được vá trong plugin tạo và quản lý trang web Elementor Pro dành cho WordPress. Plugin này được sử dụng trên hơn 12 triệu trang web. 

Lỗ hổng ở mức độ nghiêm trọng cao liên quan đến một trường hợp kiểm soát truy cập bị lỗi, ảnh hưởng đến các phiên bản 3.11.6 trở về trước và đã được vá trong phiên bản 3.11.7 được phát hành vào ngày 22/3.  

Khai thác thành công lỗ hổng cho phép kẻ tấn công đã xác thực chiếm quyền kiểm soát trang web WordPress được bật WooC Commerce. Điều này giúp tin tặc có thể bật trang đăng ký (nếu bị tắt) và đặt vai trò người dùng mặc định thành quản trị viên để tạo tài khoản có đặc quyền của quản trị viên. Sau đó, tin tặc còn có khả năng chuyển hướng trang web đến một tên miền độc hại khác hoặc tải lên một backdoor hoặc plugin độc hại để tiếp tục khai thác trang web. 

Người dùng plugin Elementor Pro nên cập nhật lên phiên bản mới nhất 3.11.7 hoặc 3.12.0 càng sớm càng tốt để giảm thiểu các mối đe dọa tiềm ẩn. 

Nguồn: Thehackernews.com