黑客正在积极利用 Houzez 主题和 WordPress 插件中的两个严重漏洞,这两个高级插件主要用于房地产网站。
Houzez 主题是一款售价 69 美元的高级插件,可提供轻松的列表管理和顺畅的客户体验。 该供应商的网站声称它正在为房地产行业的 35,000 多名客户提供服务。
这两个漏洞由 Patchstack 的威胁研究员 Dave Jong 发现并报告给主题的供应商“ThemeForest”,其中一个缺陷在 2.6.4 版(2022 年 8 月)中修复,另一个在 2.7.2 版(2022 年 11 月)中修复 .
但是,一份新的 Patchstack 报告警告说,一些网站尚未应用安全更新,并且威胁行为者在持续的攻击中积极利用这些旧漏洞。
“主题和插件中的漏洞目前在野外被利用,在撰写本文时已经看到来自 IP 地址 103.167.93.138 的大量攻击。” - 补丁栈。
滥用控制网站
第一个 Houzez 缺陷被追踪为 CVE-2023-26540,根据 CVSS v3.1 标准,其严重等级为 9.8(满分 10.0),将其归类为严重漏洞。
这是一个影响 Houzez 主题插件版本 2.7.1 及更早版本的安全配置错误,无需身份验证即可远程利用它来执行权限提升。
修复该问题的版本为Houzez theme 2.7.2或更高版本。
第二个缺陷已收到标识符 CVE-2023-26009,它也被评为严重(CVSS v3.1:9.8),影响 Houzes 登录注册插件。
它会影响 2.6.3 及更早版本,允许未经身份验证的攻击者使用该插件在网站上执行权限提升。
解决该安全威胁的版本为Houzez Login Register 2.6.4或更高版本。
Dave Jong 告诉 BleepingComputer,威胁行为者通过向侦听帐户创建请求的端点发送请求来利用这些漏洞。
由于服务器端的验证检查错误,可以设计请求以在站点上创建管理员用户,从而允许攻击者完全控制 WordPress 站点。
在 Patchstack 观察到的攻击中,威胁行为者上传了一个后门,该后门能够执行命令、在网站上注入广告或将流量重定向到其他恶意网站。
“由于用户可以提供所需的用户角色,但在服务器端未正确验证,因此可以将其设置为“管理员”值,以创建具有管理员用户角色的新帐户, ” PatchStack 研究员 D. Jong 告诉 BleepingComputer。
“在此之后,他们可以对网站做任何他们想做的事,尽管我们通常看到的是上传一个包含后门的恶意插件。
不幸的是,Patchstack 报告称在撰写本文时存在漏洞被滥用,因此网站所有者和管理员应优先考虑应用可用补丁。
如若转载,请注明出处:https://www.ozabc.com/it/535156.html