Wszystkie wtyczki WordPress sprzedawane przez Essentialplugin zawierają celowo wstrzyknięty backdoor, wprowadzony przez złośliwego aktora, który przejął kontrolę nad tymi wtyczkami. Umożliwia to atakującemu trwały dostęp do zainfekowanych witryn oraz wstrzykiwanie spamu.
▸ Pokaż oryginał (EN)
All plugins by Essentialplugin for WordPress are vulnerable to an injected backdoor in various versions. This is due to the plugin being sold to a malicious threat actor that embedded a backdoor in all of the plugin's they acquired. This makes it possible for the threat actor to maintain a persistent backdoor and inject spam into the affected sites.
Złośliwy aktor zakupił portfel wtyczek WordPress od Essentialplugin i osadził w ich kodzie backdoor (CWE-506 — Embedded Malicious Code). Backdoor ten jest obecny w różnych wersjach wszystkich przejętych wtyczek. Dzięki temu atakujący może w sposób trwały i ukryty utrzymywać zdalny dostęp do witryn korzystających z tych wtyczek oraz wykorzystywać je do wstrzykiwania spamu.
Atakujący może utrzymywać trwały, nieautoryzowany dostęp do zainfekowanych witryn WordPress oraz wstrzykiwać spam do ich treści. Ze względu na wektor sieciowy bez wymaganych uprawnień i interakcji użytkownika (CVSS 9.8 CRITICAL), możliwe jest również naruszenie poufności, integralności i dostępności danych.
Należy niezwłocznie odinstalować wszystkie wtyczki WordPress pochodzące od Essentialplugin. Nie należy instalować nowych wersji tych wtyczek do czasu potwierdzenia usunięcia złośliwego kodu przez zaufane źródło. Zaleca się przeprowadzenie audytu witryny pod kątem śladów kompromitacji oraz zastosowanie się do zaleceń opisanych w referencjach (Wordfence, anchor.host).
Wszystkie wtyczki WordPress dystrybuowane przez Essentialplugin — dotyczy różnych wersji wszystkich przejętych wtyczek (konkretne wersje wskazane w referencjach producenta i Wordfence)
Podatność wynika z przejęcia całego portfela wtyczek przez złośliwego aktora, który celowo osadził backdoor we wszystkich nabytych produktach — nie jest to klasyczna luka w kodzie, lecz świadome działanie po stronie nowego właściciela wtyczek.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H