ネットワークセキュリティー
 Computer >> コンピューター >  >> ネットワーキング >> ネットワークセキュリティー

攻撃を受けている Elementor の Elementor Pro および Ultimate アドオン:迅速に更新

Elementor Pro と Ultimate Add-ons for Elementor の 2 つの一般的な WordPress プラグインを標的とする大規模な攻撃キャンペーンが特定されました。これらのプラグインがインストールされている 100 万を超える WordPress Web サイトが、ホットなターゲットです。ゼロデイ エクスプロイトが最初に明るみに出て以来、Elementor および Elementor 用の Ultimate Addons のプラグイン開発者は急いで脆弱性にパッチを当てました。両方のプラグインは、次の更新バージョンでパッチを受け取りました:

  • Elementor Pro:2.9.4
  • Elementor の究極のアドオン:1.24.2

まだお持ちでない場合は、以前のバージョンからこれらのバージョンに更新してください。

2020 年 6 月 6 日に更新: Elementor Page Builder プラグインで、もう 1 つの保存された XSS の重大な脆弱性が発見されました。この脆弱性により、作成者レベルのユーザーは、悪意のある XSS ペイロードの可能性があるカスタム リンクを作成し、ウィジェットにカスタム属性を作成することができます。これは、再び保存された XSS リスクになります。 バージョン 2.9.10 でパッチがリリースされました .できるだけ早くこのバージョンに更新してください。

ハッキングの詳細…

Elementor Pro の脆弱性により、オープン登録の WP Web サイトでリモート コード実行が許可されました。この脆弱性は、サブスクライバー レベルのユーザーに与えられたファイル アップロード許可に起因します。加入者は、サイトにアイコン セット (zip 形式) をアップロードできます。

Elementor Pro にも検証チェックがなかったため、疑わしい拡張機能やコンテンツのアップロードが許可されていました。そのため、最小レベルの認証を受けたハッカーは、実行可能な悪意のあるコードを含む .zip ファイルをアップロードできるようになりました。コードが実行されると、攻撃者は何でもできるようになります。シェルやマルウェアのアップロードから、バックドアの挿入、偽のユーザーの追加、管理アクセスの取得、設定の変更、さらには Web サイト全体の削除まで.

Elementor Pro がリリースしたパッチでは、zip のファイル コンテンツを検証する次のコードが追加されました。 CSS、EOT、HTML、JSON、OTF、SVG などのファイル形式のみをアップロードできるようにします。

攻撃を受けている Elementor の Elementor Pro および Ultimate アドオン:迅速に更新

彼らは、許可されたユーザー (管理者およびスーパー管理者のアクセス レベルを持つ) のみがファイルをアップロードできるようにする別のパッチを追加しました。サブスクライバーの役割を持つユーザーが zip をアップロードしようとすると、エラーがスローされます。

攻撃を受けている Elementor の Elementor Pro および Ultimate アドオン:迅速に更新

Ultimate アドオン プラグインには、ファイル アップロード ルール自体が欠けているわけではありません。ただし、誰でも Web サイトへのサブスクライバー レベルのアクセスを取得できます。アクティブな登録フォームがない場合でも。

Elementor の Ultimate Addons のこの脆弱性は、ハッカーに基盤を提供し、Elementor Pro のより重大な RCE 脆弱性を悪用できるようにします。そのため、Web サイトが登録フォームをホストしていなくても、攻撃者は自身をサブスクライバーとして追加できます。これは、Elementor Pro の RCE 脆弱性を悪用するための最小要件です。

ここで、脆弱性は Elementor Pro にのみ存在し、Elementor の無料版のユーザーは攻撃から安全であることを言及する必要があります.

ダメージ コントロール!

Astra のお客様は、Astra がそのようなファイルのアップロードを既にブロックしているため、心配する必要はありません。念のため、ダッシュボードにログインして、[設定>>ファイル アップロード ルール] に移動します。 、トグル キーが既にオンになっているかどうかを確認します。

攻撃を受けている Elementor の Elementor Pro および Ultimate アドオン:迅速に更新

追加の拡張子をブロックする場合は、そのような悪意のあるアップロードの試みをすべて阻止するファイル アップロード ルールを追加することもできます。

攻撃を受けている Elementor の Elementor Pro および Ultimate アドオン:迅速に更新

Elementor Pro および Elementor 用 Ultimate アドオンの他のすべてのユーザーは、パッチを適用したバージョンに更新することをお勧めします。既に述べたように、パッチが適用されたバージョンは – 2.9.4 です。 Elementor Pro および 1.24.2 の場合 Elementor の Ultimate アドオン用。

ハッキングされた場合は、Astra による即時のマルウェア クリーンアップ (4 時間以内) を取得し、Web サイトを正常に復元できます。

更新を確認したら、この WordPress セキュリティ ガイドに従ってセキュリティを強化してください。


  1. Windows 10 用の Qualcomm USB ドライバをダウンロードして更新する方法

    ほとんどの Android デバイスは Qualcomm プロセッサで実行されるため、Android デバイスを PC に接続するには、Qualcomm USB ドライバーが必要です。このドライバーがないと、デバイス間で接続したり、ファイルを転送したりすることはできません。このガイドでは、Windows 10 PC 用の Qualcomm USB ドライバーをダウンロードして更新する方法について説明します。 Windows 10 用の Qualcomm USB ドライバをダウンロードして更新する方法の違い Windows 10 PC 用の Qualcomm USB ドライバーをダウンロード

  2. GTX 1660 ドライバをすばやく簡単に更新する方法

    GeForce® GTX 1660 および 1660 は、受賞歴のある NVIDIA TuringTM アーキテクチャを使用して開発されており、前例のないグラフィックス パフォーマンスを実現します。 16 シリーズ GPU は、今日の最も人気のあるゲームの超高速スーパーチャージャーであり、最新のタイトルではさらに高速であるため、PC を簡単にアップグレードして優れたパフォーマンスを得ることができます。それは、両方の長所を持っているようなものです。 GeForce GTX 1660 Ti および 1660s の専用ハードウェア エンコーダーは、ゲームとストリーミングを同時に行う可能性を解き放ち、