Peretas secara aktif mengeksploitasi kerentanan kritis dalam plugin WordPress yang banyak digunakan yang memberi mereka kemampuan untuk mengambil kendali penuh atas jutaan situs, kata para peneliti.
Kerentanan, yang memiliki tingkat keparahan 8,8 dari kemungkinan 10, hadir di Elementor Pro, sebuah plugin premium yang berjalan di lebih dari 12 juta situs yang didukung oleh sistem manajemen konten WordPress. Elementor Pro memungkinkan pengguna membuat situs web berkualitas tinggi menggunakan berbagai alat, salah satunya adalah WooCommerce, plugin WordPress terpisah. Saat kondisi tersebut terpenuhi, siapa pun yang memiliki akun di situs—misalnya pelanggan atau pelanggan—dapat membuat akun baru yang memiliki hak administrator penuh.
Kerentanan itu ditemukan oleh Jerome Bruandet, seorang peneliti di perusahaan keamanan NinTechNet. Minggu lalu, Elementor, pengembang plugin Elementor Pro, merilis versi 3.11.7, yang menambal kekurangan tersebut. Dalam sebuah posting yang diterbitkan pada hari Selasa, Bruandet menulis:
Siapa pun yang menggunakan Elementor Pro harus memastikan mereka menjalankan 3.11.7 atau lebih baru, karena semua versi sebelumnya rentan. Ini juga merupakan ide bagus bagi pengguna ini untuk memeriksa situs mereka untuk tanda-tanda infeksi yang tercantum di pos PatchStack.
selengkapnya : arstechnica.com
