黑客利用WordPress Elementor Pro漏洞：数百万个网站面临风险！

未知的威胁行为者正在积极利用WordPress的Elementor Pro网站构建器插件中最近修补的安全漏洞。

该漏洞被描述为破坏访问控制的情况，影响3.11.6及更早版本。插件维护者在3月22日发布的3.11.7版本中解决了这个问题。

“WooCommerce组件中改进的代码安全执行”，总部位于特拉维夫的公司 说在其发行说明中。高级插件是 估计将在超过1200万个网站上使用。

成功利用该严重漏洞可使经过身份验证的攻击者完成对启用了WooCommerce的WordPress网站的接管。

“这使得恶意用户可以打开注册页面（如果禁用）并将默认用户角色设置为管理员，以便他们可以创建立即具有管理员权限的帐户，”Patchstack 说在2023年3月30日的警报中。

“在此之后，他们可能会将网站重定向到另一个恶意域，或者上传恶意插件或后门以进一步利用该网站。”

贷方 发现并报告漏洞2023年3月18日，NinTechNet安全研究员杰罗姆Bruandet

Patchstack进一步指出，该漏洞目前正在被几个IP地址滥用，意图上传任意PHP和ZIP存档文件。

建议Elementor Pro插件的用户尽快更新到最新版本3.11.7或3.12.0，以减轻潜在的威胁。

该公告是在Elementor插件的Essential Addons被发现包含一个严重漏洞后一年多发布的，该漏洞可能导致在受感染的网站上执行任意代码。

上周，WordPress发布了自动更新，以修复另一个严重的错误 WooCommerce支付插件这使得未经身份验证的攻击者能够获得对易受攻击站点的管理员访问权限。

稿源：TheHackerNews.com

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/