Lỗ hổng WordPress trong Addon Elementor và Beaver có thể khiến website bị hack dễ dàng

Lỗ hổng WordPress trong "Ultimate Addons for Beaver Builder" và "Ultimate Addons for Elementor"

Người dùng WordPress chú ý! Trang web của bạn có thể dễ dàng bị hack nếu bạn sử dụng “Ultimate Addons for Beaver Builder“, hoặc “Ultimate Addons for Elementor” mà chưa cập nhật bản mới nhất.

Lỗ hổng WordPress cho phép hacker chiếm quyền điều hành trang web mà không cần mật khẩu quản trị viên

Các nhà nghiên cứu an ninh mạng gần đây đã phát hiện ra một lỗ hổng bỏ qua bước xác thực cho phép kẻ tấn công chiếm quyền điều hành website mà không cần mật khẩu. Lỗ hổng này được đánh giá là nghiêm trọng nhưng lại dễ dàng khai thác chứ không hề phức tạp.

>> Xem thêm: Lỗ hổng website là gì?

Điều tệ hơn là những kẻ tấn công đã lợi dụng cơ hội này để khai thác lỗ hổng trên quy mô lớn trong 2 ngày từ khi lỗ hổng bị phát hiện và công bố. Chúng nhắm vào những trang web WordPress bị ảnh hưởng và cài đặt backdoor vào web để truy cập lại lần sau.

Cả hai plugin bị ảnh hưởng đều rất phổ biến và được sử dụng bởi hàng trăm ngàn website WordPress sử dụng Elementor và Beaver Builder framework. Chúng giúp quản trị viên website tùy biến thiết kế trang dễ dàng với các widget, module, template đa dạng.

Lỗ hổng nằm trong tính năng xác thực đăng nhập qua Facebook và Google

Được phát hiện bởi những nhà nghiên cứu tại MalCare, lỗ hổng nằm ở cách hai plugin cho phép các tài khoản WordPress, bao gồm cả admin, xác thực thông qua Facebook và Google.

Lỗ hổng WordPress trong "Ultimate Addons for Beaver Builder" và "Ultimate Addons for Elementor"

Theo các chuyên gia, do phương pháp xác thực thiếu bước kiểm duyệt khi người dùng đăng nhập qua Facebook hay Google, các plugins này có thể bị lừa để cho phép kẻ tấn công đăng nhập dưới danh nghĩa bất kỳ một người dùng nào mà không yêu cầu nhập password.

>> Top 10 lỗ hổng website theo OWASP TOP 10

“Tuy nhiên, phương thức xác thực đăng nhập của Facebook và Google không verify token trả về bởi Facebook và Google, và bởi vì không yêu cầu nhập password, cho nên không có bước kiểm tra password.” Các nhà nghiên cứu tại WebARX giải thích, họ cũng là những người đã phân tích lỗ hổng và xác nhận rằng lỗ hổng đang bị khai thác trên internet.

“Để khai thác lỗ hổng, hackers cần sử dụng email ID của một quản trị viên website. Trong nhiều trường hợp, thông tin này khá dễ dàng có được.” MalCare cho biết.

WebARX xác nhận rằng hacker đang khai thác lỗ hổng này để cài đặt một plugin SEO giả mạo sau khi upload file tmp.zip lên một máy chủ WordPress, sau cùng để lại file backdoor wp-xmlrpc.php vào thư mục root của trang web bị tấn công.

Người dùng nên cập nhật phiên bản mới càng sớm càng tốt

MalCare phát hiện lỗ hổng này vào Thứ Tư tuần trước và báo cáo cho Nhà phát triển ngay trong ngày hôm đó. Những phiên bản plugin bị ảnh hưởng bao gồm:

  • Ultimate Addons for Elementor <= 1.20.0
  • Ultimate Addons for Beaver Builder <= 1.24.0

Được biết, Nhà phát triển của các plugin trên đã tung ra bản vá 7 tiếng sau khi nhận được báo cáo lỗ hổng.

Lỗ hổng vượt qua xác nhận (authentication bypass vulnerability) đã được sửa chữa tại phiên bản “Ultimate Addons for Elementor version 1.20.1” và “Ultimate Addons for Beaver Builder ver 1.24.1”. Những website bị ảnh hưởng được khuyến nghị cập nhật càng sớm càng tốt.