Критические уязвимости в плагине WordPress Houzez позволяют захватить веб-сайт

PatchStack WordPress Houzez ThemeForest CVE CVSS IP-адрес
Критические уязвимости в плагине WordPress Houzez позволяют захватить веб-сайт
PatchStack WordPress Houzez ThemeForest CVE CVSS IP-адрес

Неправильные конфигурации плагина позволяют повысить привилегии и создать профиль администратора.

image

Согласно новому отчёту Patchstack, хакеры активно используют 2 критические уязвимости в плагине Houzez для WordPress, используемых в основном на сайтах недвижимости.

Houzez — это плагин тарифа премиум, предлагающий простое управление объявлениями и удобное обслуживание клиентов. На сайте производителя утверждается, что он обслуживает более 35 000 клиентов в сфере недвижимости.

Ошибки были обнаружены исследователем угроз Patchstack Дейвом Джонгом, он также сообщил о них разработчику темы – ThemeForest. Одна из них была устранена в версии 2.6.4 в августе 2022 года, а другая - в версии 2.7.2 в ноябре 2022 года.

Отчёт Patchstack предупреждает, что некоторые веб-сайты не применили обновление безопасности, и субъекты угроз активно используют эти недостатки в продолжающихся атаках. И на данный момент большое количество атак исходит с IP-адреса 103.167.93.138.

  1. CVE-2023-26540 (CVSS: 9.8) связана с неправильной конфигурацией безопасности и может быть использована удаленно неавторизованным хакером для повышения привилегий. Проблема затрагивает плагин Houzez версии 2.7.1 и выше. Исправление доступно в версии Houzez 2.7.2 или выше.
  2. CVE-2023-26009 (CVSS: 9.8) позволяет злоумышленнику, не прошедшему проверку подлинности, повысить привилегии. Затрагивает плагин Houzes Login Register версии 2.6.3 и выше. Исправление доступно в версии Houzez Login Register 2.6.4 или выше.

По словам Джонга, хакеры используют эти уязвимости, отправляя запрос на конечную точку, которая прослушивает запросы на создание учетной записи. Из-за ошибки в проверке валидности на стороне сервера запрос может быть составлен таким образом, чтобы создать на сайте пользователя-администратора, что позволяет злоумышленнику получить полный контроль над сайтом WordPress.

В атаках, замеченных Patchstack, злоумышленники загружали бэкдор, способный выполнять команды, размещать рекламу на сайте или перенаправлять трафик на другие вредоносные сайты. После этого киберпреступники могут делать с сайтом все, что захотят, но обычно они загружают вредоносный плагин, содержащий бэкдор.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

Новости по теме

0day в сетевых шлюзах Palo Alto: когда ждать исправления?

Два новых сервиса от Роскомнадзора: как изменится мониторинг российского интернета

BatBadBut: ошибка в Rust позволяет захватить компьютер без вашего ведома

Не только шпионаж: что китайские хакеры ищут в уязвимых продуктах Ivanti?

92 000 устройств D-Link на грани компрометации

CVE-2024-20720: покупатели интернет-магазинов на Magento, берегите свои карточки

Брешь в YubiKey Manager или как Microsoft Edge спасает пользователей от взлома

CVE-2024-3400: подробности атак на сетевые экраны Palo Alto Networks

Смартфон вместо отмычки: умные замки Chirp подрывают безопасность десятков тысяч домовладений