据报告,影响Royal Elementor Addons and Templates插件版本1.3.78及以下的一项严重漏洞正在受到两个WordPress安全团队的积极利用。
由于在插件开发者发布补丁之前观察到了漏洞的利用,黑客将其作为零日漏洞进行了利用。
”WP Royal“的Royal Elementor Addons and Templates是一个网站构建工具包,允许快速创建网页元素,无需编码知识。根据WordPress.org的数据,该插件已经有超过200,000个活跃的安装。
影响此插件的漏洞被跟踪为CVE-2023-5360(CVSS v3.1:9.8 ”严重“),允许未经身份验证的攻击者在受影响的网站上执行任意文件上传。
尽管该插件具有扩展验证,以限制仅允许特定的文件类型上传,但未经身份验证的用户可以操纵”允许列表“以绕过净化和检查。
攻击者可能通过此文件上传步骤实现远程代码执行,导致整个网站受到威胁。
为防止广泛利用,已保留了有关漏洞的其他技术细节。
自2023年8月30日以来,两个专注于WordPress安全的安全公司,Wordfence和WPScan(Automattic),已将CVE-2023-5360标记为被黑客积极利用,攻击量在2023年10月3日开始急剧增加。
Wordfence报告称,过去一个月内已阻止了超过46,000次针对Royal Elementor的攻击,而WPScan记录了在利用漏洞后,攻击者放下了十种不同的有效载荷,共计889起攻击事件。
在这些攻击中使用的大多数有效载荷是尝试创建名为”wordpress_administrator“的WordPress管理员用户或充当后门的PHP脚本。
WordPress表示,大多数攻击都源自两个IP地址,因此该0day漏洞可能仅为少数威胁行为者所知。
插件开发者于2023年10月3日获得了有关此漏洞的详细信息,并于2023年10月6日发布了Royal Elementor Addons and Templates插件的1.3.79新版本来修复此漏洞。建议所有使用此插件的用户尽快升级到该版本。
请注意,将插件升级到版本1.3.79不会自动删除感染或恶意文件,因此在这种情况下需要管理员自行进行网站清理。