WordPressユーザーへの注意！

あなたが使用している場合、あなたのウェブサイトは簡単にハッキングされる可能性がありますBeaver Builderの究極のアドオン、 "または"Elementorの究極のアドオン」であり、最近利用可能な最新バージョンに更新していません。

セキュリティ研究者は、広く使用されているプレミアムWordPressプラグインの両方に、パスワードを必要とせずにリモートの攻撃者がサイトへの管理アクセス権を取得できる、重大でありながら悪用しやすい認証バイパスの脆弱性を発見しました。

さらに心配なのは、日和見的な攻撃者が脆弱なWordPress Webサイトを侵害し、後でアクセスするために悪意のあるバックドアをインストールするために、発見から2日以内にこの脆弱性を悪用し始めたことです。

ソフトウェア開発会社Brainstorm Forceによって作成された両方の脆弱なプラグインは、現在、ElementorおよびBeaver Builderフレームワークを使用して数十万を超えるWordPress Webサイトを強化しており、Webサイト管理者およびデザイナーがより多くのウィジェット、モジュール、ページテンプレートでWebサイトの機能を拡張するのを支援しています。

Webセキュリティサービスの研究者が発見 MalCare、脆弱性は、両方のプラグインが管理者を含むWordPressアカウント所有者がFacebookおよびGoogleのログインメカニズムを介して認証する方法に存在します。

画像クレジット：WebARX

脆弱性のアドバイザリによると、ユーザーがFacebookまたはGoogle経由でログインするときの認証方法のチェックが不足しているため、脆弱なプラグインが騙され、悪意のあるユーザーがパスワードを要求せずに他のターゲットユーザーとしてログインできるようになる可能性があります。

「しかし、FacebookとGoogleの認証方法はFacebookとGoogleから返されたトークンを検証しませんでした。また、パスワードを必要としないため、パスワードチェックは行われませんでした。」 説明 WebARXの研究者も欠陥を分析し、その積極的な悪用を確認しました。

「この脆弱性を悪用するには、ハッカーはサイトの管理者ユーザーのメールIDを使用する必要があります。 ほとんどの場合、この情報はかなり簡単に取得できます」とMalCare氏は述べています。

The Hacker Newsへのメールで、WebARXは攻撃者がこの欠陥を悪用して、ターゲットのWordPressサーバーにtmp.zipファイルをアップロードした後に偽のSEO統計プラグインをインストールすることを確認しました。脆弱なサイトのディレクトリ。
MalCareは水曜日にこの脆弱性をプラグインの以下のバージョンに影響することを発見し、同じ日に開発者に報告しました。開発者はこの問題を迅速に解決し、両方のパッチバージョンを7時間以内にリリースしました。

• Elementorの究極のアドオン<= 1.20.0
• BeaverBuilderの究極のアドオン<= 1.24.0

認証バイパスの脆弱性は、「Ultimate Addons for Elementor」のリリースでパッチされています。 バージョン1.20.1」と「Beaver Builderの究極のアドオン」 バージョン1.24.1」の影響を受けるWebサイトは、できるだけ早くインストールすることを強くお勧めします。