Milion witryn WordPress dotkniętych luką w zabezpieczeniach wtyczki

Problem dotyczy przeszło miliona instalacji wtyczki Essential Addons for Elementor. Zapewnia ona dodatkowe elementy i rozszerzenia platformy do tworzenia stron internetowych Elementor.

Luka o krytycznym poziomie ważności śledzona jako CVE-2023-32243 (wynik CVSS 9,8) jest opisana jako nieuwierzytelniona eskalacja uprawnień, którą można wykorzystać do przejęcia dowolnego konta użytkownika.

„Możliwe jest zresetowanie hasła dowolnego użytkownika. Wystarczy, że znamy jego nazwę. Wtedy możemy zresetować hasło administratora i zalogować się na jego konto” – wyjaśnia badacz bezpieczeństwa Rafie Muhammad, który zidentyfikował lukę.

Problem występuje w funkcji resetowania hasła, która zmienia hasło dowolnego konta użytkownika bez uprzedniego sprawdzenia poprawności klucza resetowania hasła.

Nieuwierzytelniona osoba atakująca może wykorzystać błąd do zresetowania poświadczenia dowolnego konta użytkownika, jeśli zna adres e-mail lub nazwę tego użytkownika.

Luka dotyczy Essential Addons dla Elementora w wersjach od 5.4.0 do 5.7.1 i została usunięta w tym tygodniu wraz z wydaniem wersji 5.7.2. Łatka dodaje kontrolę do funkcji resetowania hasła, aby zweryfikować proces.

Muhammad zidentyfikował i zgłosił lukę 8 maja. Pierwsze próby wykorzystania tego błędu zaobserwowano 11 maja, kiedy wydano Essential Addons dla Elementora w wersji 5.7.2.

„Wordfence zablokował 151 ataków wymierzonych w tę lukę w ciągu ostatnich 24 godzin” – zauważa Defiant w poradniku. Warto zauważyć, że liczba ataków obserwowanych przez firmę gwałtownie rośnie.

Zaleca się, aby użytkownicy Elementora zaktualizowali swoje instalacje tak szybko, jak to możliwe. W tym roku już dwukrotnie informowaliśmy o problemach w środowisku WordPressa. Pierwszy raz w styczniu, kiedy opisywaliśmy złośliwy program na systemy Linux, który włamywał się na strony internetowe postawione na WordPressie, wykorzystując 30 luk w zabezpieczeniach wielu wtyczek i motywów instalowanych jako dodatki do programu. Drugi raz w kwietniu, gdy omawialiśmy złośliwą kampanię „balada injector”. I coś nam mówi, że dzisiejsze, trzecie ostrzeżenie dotyczące WordPressa nie jest ostatnie w tym roku.