Хакеры массово используют уязвимость удаленного выполнения кода CVE-2021-25094 в плагине Tatsu Builder для WordPress, который установлен примерно на 100 000 веб-сайтов.
По оценкам, до 50 000 веб-сайтов по-прежнему используют уязвимую версию плагина, хотя патч доступен с начала апреля.
Крупные волны атак начались 10 мая 2022 года и достигли своего пика через четыре дня. В настоящее время продолжается эксплуатация.
Tatsu Builder — популярный плагин, предлагающий мощные функции редактирования шаблонов, интегрированные прямо в веб-браузер.
Целевая уязвимость — CVE-2021-25094, позволяет удаленному злоумышленнику выполнять произвольный код на серверах с устаревшей версией плагина (все сборки до 3.3.12).
Уязвимость была обнаружена независимым исследователем Винсентом Мишелем, который публично раскрыл ее 28 марта 2022 года вместе с кодом эксплойта для подтверждения концепции (PoC).
Поставщик выпустил исправление версии 3.3.13 и уведомил пользователей по электронной почте 7 апреля 2022 г., призывая их применить обновление.