社区编辑申请
注册/登录
Elementor WordPress 插件存在漏洞,可能影响 50 万个站点
安全 漏洞
悉,尽管利用该漏洞时需要身份验证,但任何登录到有漏洞网站的用户都可以利用它,包括普通用户。另外,安全研究人员认为,未登录的用户也可以利用该漏洞,但是尚未证实这种情况。

Bleeping Computer 网站披露,WordPress Elementor 页面构建插件运营者发布 3.6.3 版本,以解决一个远程代码执行漏洞,该漏洞可能影响多达 50 万个网站。

据悉,尽管利用该漏洞时需要身份验证,但任何登录到有漏洞网站的用户都可以利用它,包括普通用户。另外,安全研究人员认为,未登录的用户也可以利用该漏洞,但是尚未证实这种情况。

攻击者在存在漏洞的网站上创建一个正常账户,可以改变受影响网站的名称和主题,使其看起来完全不同。

漏洞细节

本周,WordPress 安全服务机构 Plugin Vulnerabilities 的研究人员发布报告,描述了 Elementor 漏洞问题背后的技术细节。研究人员解释称,问题在于该插件的一个文件 "module.php "缺乏关键的访问检查,导致该文件在 admin_init 操作期间的每个请求中都被加载,即使没有登录的用户,也是如此。

另外,研究人员发现发现 RCE 漏洞可能涉及函数 upload_and_install_pro(),该函数将安装随请求发送的 WordPress 插件,这时, admin_init 允许以 WordPress 插件的形式上传文件, 威胁者可以将恶意文件放在里面以实现远程代码执行。

文件上传功能

激活注入的恶意插件

研究人员表示,唯一的限制是访问一个有效的 nonce,然而,他们发现相关的 nonce 存在于 "WordPress管理页面的源代码中,该代码以 'elementorCommonConfig' 开头,当用户登录时,该代码会被包含在内。"

影响和修复

根据 Plugin Vulnerabilities 的说法,该漏洞是由 2022 年 3 月 22 日发布的 Elementor 3.6.0 版本引入的。

WordPress 的统计报告显示,大约 30.7% 的 Elementor 用户已经升级到 3.6.x 版本,数据表明可能受影响网站的最大数量约为 150 万个,另外,3.6.3 版本的插件至今下载量略高于一百万次,那么还有大约 50 万个有漏洞的网站。

最新的 3.6.3 版本包括一个提交功能,使用 "current_user_can "WordPress函数,实现了对 nonce 访问的额外检查。

在 Elementor 中提交解决安全漏洞

普遍认为这一做法应该能解决漏洞安全问题,但研究人员尚未验证修复方法有用,而且 Elementor 团队也没有公布任何关于这个补丁的细节。

目前,BleepingComputer 已经联系了 Elementor 的安全团队,以期获得更多的细节,但是尚未收到回复。

最后,建议管理员应用 Elementor WordPress 插件的最新可用更新,或从网站上完全删除该插件。

参考文章:https://www.bleepingcomputer.com/news/security/critical-flaw-in-elementor-wordpress-plugin-may-affect-500k-sites/

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2022-07-01 05:47:19

PyCharm插件开发

2022-06-20 13:34:46

漏洞网络攻击

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-29 09:19:09

静态代码C语言c代码

2022-06-16 07:32:38

VSCodePython插件

2022-06-29 08:13:36

漏洞网络攻击网络安全

2022-06-20 14:57:50

漏洞安全威胁

2022-06-09 18:04:46

网络攻击网络安全

2022-06-17 11:24:52

2022-05-17 08:39:05

VueViteTypeScript

2022-06-28 12:14:02

DockerLinux

2022-06-28 10:22:00

2022-06-22 05:53:49

城域网广域网VXLAN

2022-06-06 14:32:36

2022-06-15 14:40:54

英特尔漏洞

2022-06-24 11:34:38

云计算应用安全

2022-06-13 06:33:04

浏览器浏览器插件

2022-06-06 11:21:22

网络安全工具禁令

2022-06-16 16:12:57

网络资产攻击面管理CAASM

2022-06-23 09:49:16

火绒安全英特尔

同话题下的热门内容

Black Lotus警告异常复杂的ZuoRAT恶意软件已盯上大量路由器高危漏洞并不意味着要最先修复

编辑推荐

Log4j史诗级漏洞,从原理到实战,只用3个实例就搞明白!漏洞情报 | Spring RCE 0day高危漏洞预警Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前!Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响二维码新漏洞出现,遇到此类二维码小心中招
我收藏的内容
点赞
收藏

51CTO技术栈公众号