O nouă campanie malware exploatează plugin-ul Popup Builder din WordPress

O nouă campanie malware folosește o vulnerabilitate cu severitate ridicată a plugin-ului Popup Builder din cadrul WordPress pentru a insera cod JavaScript malițios.

Atacurile sunt lansate din domenii mai noi de o lună, cu înregistrări datând din 12 februarie 2024, a declarat cercetătorul de securitate Puja Srivastava într-un raport din 7 martie.

Identificată ca CVE-2023-6000, vulnerabilitatea din Popup Builder ar putea fi exploatată pentru a crea utilizatori admin falsi și pentru a instala plugin-uri arbitrare.

Vulnerabilitatea a fost exploatată ca parte a unei campanii Balada Injector la începutul lunii ianuarie, în cadrul căreia au fost compromise nu mai puțin de 7.000 de site-uri.

Cele mai recente atacuri duc la inserarea de cod malițios, care are două variante diferite și este proiectat pentru a redirecționa vizitatorii site-ului către alte site-uri, cum ar fi pagini de phishing și scam.

Administratorii de site-uri WordPress sunt sfătuiți să actualizeze permanent plugin-urile și să scaneze site-urile pentru orice cod sau utilizatori suspecti și să elimine elementele suspecte.

Firma de securitate a WordPress Wordfence a publicat o nouă vulnerabilitate cu severitate ridicată într-un alt plugin cunoscut sub numele de Ultimate Member care poate fi utilizat pentru a insera scripturi web malițioase. Vulnerabilitatea de tip cross-site scripting (XSS), urmărită ca CVE-2024-2123 (scor CVSS: 7.2), afectează toate versiunile plugin-ului, anterioare 2.8.3. A fost remediată în versiunea 2.8.4, lansată pe 6 martie 2024.

Vulnerabilitatea provine din sanitizarea necorespunzătoare a intrărilor utilizatorilor, permițând astfel atacatorilor neautentificați să insereze scripturi web arbitrare în pagini care vor fi executate de fiecare dată când un utilizator le vizitează.

Pe lângă faptul că vulnerabilitatea poate fi exploatată de atacatori fără privilegii pe un site vulnerabil, acest lucru înseamnă că există o șansă mare ca atacatorii neautentificați să obțină acces la contul de administrator pe site-urile care rulează versiunea vulnerabilă.

A mai fost remediată o vulnerabilitate similară (CVE-2024-1071, scor CVSS: 9.8) în versiunea 2.8.3 lansată pe 19 februarie. De asemenea, a mai fost remediată în versiunea 7.11.5 o vulnerabilitate de încărcare arbitrară a fișierelor în tema WordPress Avada (CVE-2024-1468, punctaj CVSS: 8.8).

Atacatorii autentificați, cu drepturi de contribuitor, să încarce fișiere arbitrare pe serverul site-ului vulnerabil, lucru care poate face posibilă execuția de cod de la distanță.

Sursa: https://thehackernews.com/2024/03/malware-campaign-exploits-popup-builder.html?m=1