Vulnerabilități critice în cadrul temei Houzez din WordPress

Atacatorii exploatează două vulnerabilități cu un grad de severitate critic în cadrul temei și a plugin-ului Houzez pentru WordPress.

Cele două vulnerabilități au fost descoperite și raportate furnizorului temei, ca mai apoi să fie remediate în cadrul versiunilor 2.6.4 (august 2022) și 2.7.2 (noiembrie 2022).

Specialiștii au declarat că site-urile web care nu au aplicate actualizări de securitate sunt vizitate de către atacatori exploatând în mod activ aceste vulnerabilități.

Prima vulnerabilitate, CVE-2023-26540 cu un scor CVSS v3.1 de 9.8 / 10, se referă la o configurație necorespunzătoare de securitate ce afectează pluginul Houzez Theme al versiunilor 2.7.1 și mai vechi.

Cea de-a doua vulnerabilitate, CVE-2023-26009 cu un scor CVSS v3.1 de 9.8 / 10, exploatează plugin-ul Houzes Login Register versiunile 2.6.3 și mai vechi. Aceasta ar putea permite atacatorilor neautentificați să efectueze escaladarea privilegiilor pe site-urile care folosesc acest plugin.

Atacatorii exploatează aceste vulnerabilități prin trimiterea unor cereri falsificate către endpoint-uri care așteaptă cereri de creare de cont. Din cauza unei erori la partea de validare în cadrul server-ului, cererea ar putea fi modificată pentru a crea un utilizator cu drepturi de administrator, permițând atacatorilor să preia controlul asupra site-ului WordPress.

Specialiștii recomandă administratorilor aplicarea cât mai urgentă a actualizărilor de securitate disponibile.

Sursă: https://www.bleepingcomputer.com/news/security/critical-flaws-in-wordpress-houzez-theme-exploited-to-hijack-websites/