0day в плагине для WordPress открывает удалённый доступ к вашему сайту

Злоумышленники активно эксплуатируют критическую уязвимость в плагине для WordPress Royal Elementor Addons и Templates. Эксплуатация ошибки была замечена еще до того, как производитель выпустил исправление, из-за чего хакеры использовали ее как нулевой день.

Royal Elementor Addons и Templates от WP Royal – это инструментарий для создания веб-сайтов, который позволяет быстро создавать веб-элементы без знаний программирования. Согласно WordPress.org, у плагина более 200 тысяч установок.

Уязвимость отслеживается как CVE-2023-5360 (CVSS: 9.8) и позволяет неаутентифицированному злоумышленнику выполнять произвольную загрузку файлов на уязвимых сайтах. Недостаток затрагивает версии плагина до 1.3.78

Несмотря на то, что в плагине есть проверка расширения для ограничения загрузок только определенными, разрешенными типами файлов, неаутентифицированный пользователь может манипулировать списком разрешенных файлов, чтобы обойти проверку. Киберпреступник может достичь удаленного выполнения кода (Remote Code Execution, RCE ) и захватить полный контроль над сайтом. Дополнительные технические детали об уязвимости были скрыты, чтобы предотвратить широкое распространение.

Две компании, отвечающие за безопасность WordPress, Wordfence и WPScan (Automattic), пометили CVE-2023-5360 как активно эксплуатируемую с 30 августа 2023 года, при этом количество атак увеличивалось с 3 октября 2023 года.

Wordfence заблокировала более 46 000 атак на Royal Elementor за сентябрь месяц, а WPScan обнаружила 889 случаев, когда атакующие использовали уязвимость для размещения 10 различных полезных нагрузок. Большинство полезных нагрузок представляют собой PHP-скрипты, которые пытаются создать учетную запись администратора WordPress или действуют как бэкдор.

По данным WordPress, большинство атак происходят всего с двух IP-адресов, поэтому эксплуатация может быть приписана только некоторым субъектам угроз.

WP Royal выпустил версию Royal Elementor Addons и Templates 1.3.79 6 октября с исправлением уязвимости. Пользователям рекомендуется как можно скорее обновиться до этой версии. Стоит отметить, что обновление до версии 1.3.79 автоматически не удалит вредоносные файлы, поэтому потребуется очистка сайта.