В ходе расследования серии сайтов, подвергшихся активной компрометации, WPScan заметили постоянное присутствие установленного плагина Royal Elementor Addons and Templates. При этом на всех сайтах в директорию /wpr-addons/forms/ был закинут как минимум один вредоносный файл.
В ходе проверки плагина было обнаружено, что действие upload ajax не проверяет должным образом расширения загружаемых файлов, что позволяет злоумышленникам обходить проверку и сбрасывать вредоносные файлы в каталог /wpr-addons/forms/.
Обнаружив уязвимость, WPScan незамедлительно оповестили команду разработчиков плагина, которые выпустили версию 1.3.79, устраняющую проблему.
Indicators of Compromise
MD5
- 20cdc2106ccda6f555c6e6a5b3e500e5
- 3329941816e61f1e297ffcc769a88163
- 414e2da0af038efb797c0f49f7de259d
- 62a8359b1bdb095ea621ee62d8fc6a4a
- 6b7ad345faa9315672d378559052a65a
- 6dd2d48404a766ae76465d05e8ffc21a
- 6dd792961a393a293337af69d2471659
- a2baf686cc7fd97abf306ce934a59347
- a82d39daa52ea01f17b1ae8bd23ccb6b
- b2bee44cb332cda93ccb98ff30aeb22f