کشف یک آسیب پذیری خطرناک در وردپرس

به گفته محققان، هکرها به طور فعال از یک آسیب پذیری حیاتی در پلاگین پرکاربرد Elementor Pro وردپرس سوء استفاده می کنند که به آنها توانایی کنترل کامل میلیون ها سایت را می دهد.

به گزارش تکناک، پلاگین Elementor Pro در وردپرس، توسط سیستم مدیریت محتوای وردپرس طراحی شده است. این پلاگین بر روی بیش از 12 میلیون سایت وجود دارد.

پلاگین Elementor Pro به کاربران اجازه می دهد تا با استفاده از طیف گسترده ای از ابزارها، وب سایت هایی با کیفیت بالا توسط وردپرس ایجاد کنند که یکی از آنها WooCommerce است که یک افزونه جداگانه وردپرس است. وقتی این شرایط برآورده شد، هر کسی که یک حساب در سایت دارد می‌تواند حساب‌های جدیدی ایجاد کند که دارای دسترسی کامل administrator هستند.

آسیب‌پذیری پلاگین Elementor Pro توسط جروم برواندت، محقق شرکت امنیتی NinTechNet کشف شد. هفته گذشته، Elementor، توسعه دهنده پلاگین Elementor Pro، نسخه 3.11.7 را منتشر کرد که این نقص را برطرف کرد. برواندت در پستی که روز سه شنبه منتشر شد نوشت:

یک مهاجم مجاز می‌تواند از آسیب پذیری پلاگین Elementor Pro بهره‌برداری کند و با فعال‌سازی ثبت‌نام (users_can_register) و تعیین نقش پیش‌فرض (default_role) به “مدیر” یک حساب کاربری administrator ایجاد کند . با تغییر آدرس ایمیل مدیر (admin_email) ، همان‌طور که در زیر نشان داده شده است با تغییر siteurl تمام ترافیک را به یک وبسایت خارجی خطرناک هدایت کند.

MariaDB [example]> SELECT * FROM `wp_options` WHERE `option_name`='siteurl';
+-----------+-------------+------------------+----------+
| option_id | option_name | option_value     | autoload |
+-----------+-------------+------------------+----------+
|		 1 | siteurl     | https://evil.com | yes 	 |
+-----------+-------------+------------------+----------+
1 row in set (0.001 sec)

اکنون، محققان شرکت امنیتی  PatchStack، گزارش می‌دهند که این آسیب‌پذیری تحت بهره‌برداری فعال است. حملات از آدرس‌های IP مختلفی انجام می‌شوند، از جمله:

• 169.194.63
• 169.195.64
• 135.30.6

فایل‌های آپلود شده در سایت‌های در معرض خطر اغلب دارای نام‌های زیر هستند:

• wp-resortpack.zip
• wp-rate.php
• zip

URL های سایت های در معرض خطر اغلب به این موارد تغییر می کنند:

• away[dot]trackersline[dot]com

آسیب‌پذیری از کامپوننت ” elementor-pro/modules/woocommerce/module.php” در Elementor Pro نشأت می‌گیرد. زمانی که WooCommerce در حال اجرا است، این اسکریپت اقدامات AJAX زیر را ثبت می‌کند:

/**
 * Register Ajax Actions.
 *
 * Registers ajax action used by the Editor js.
 *
 * @since 3.5.0
 *
 * @param Ajax $ajax
 */
public function register_ajax_actions( Ajax $ajax ) {
   // `woocommerce_update_page_option` is called in the editor save-show-modal.js.
   $ajax->register_ajax_action( 'pro_woocommerce_update_page_option', [ $this, 'update_page_option' ] );
   $ajax->register_ajax_action( 'pro_woocommerce_mock_notices', [ $this, 'woocommerce_mock_notices' ] );

و

/**
 * Update Page Option.
 *
 * Ajax action can be used to update any WooCommerce option.
 *
 * @since 3.5.0
 *
 * @param array $data
 */
public function update_page_option( $data ) {
   update_option( $data['option_name'], $data['editor_post_id'] );
}

برواندت توضیح داد که تابع update_option “قرار است به Administrator یا مدیر سایت فروشگاهی اجازه دهد تا برخی از گزینه های خاص WooCommerce را به روز کند، اما ورودی کاربر تایید نشده است و عملکرد فاقد قابلیت بررسی برای محدود کردن دسترسی آن به یک کاربر با دسترسی بالا است.

او ادامه داد: پلاگین Elementor از کنترلر AJAX خود برای مدیریت بیشتر اقدامات AJAX خود از جمله pro_woocommerce_update_page_option با اکشن جهانی elementor_ajax استفاده می کند. این در اسکریپت “elementor/core/common/modules/ajax/module.php” نسخه رایگان (که برای اجرای Elementor Pro لازم است) قرار دارد:

/**
 * Handle ajax request.
 *
 * Verify ajax nonce, and run all the registered actions for this request.
 *
 * Fired by `wp_ajax_elementor_ajax` action.
 *
 * @since 2.0.0
 * @access public
 */
public function handle_ajax_request() {
   if ( ! $this->verify_request_nonce() ) {
  	$this->add_response_data( false, esc_html__( 'Token Expired.', 'elementor' ) )
     	->send_error( Exceptions::UNAUTHORIZED );
   }
   ...

همه کسانی که از پلاگین Elementor Pro استفاده می‌کنند باید به نسخه 3.11.7 یا جدیدتر بروزرسانی کنند، زیرا تمامی نسخه‌های قبلی دارای آسیب‌پذیری هستند. همچنین پیشنهاد می‌شود که این کاربران وب‌سایت‌های خود را برای نشانه‌های احتمالی آلودگی که در پست PatchStack ذکر شده است، بررسی کنند.