更新: Elementor 的 Plus 插件已于 2021 年 3 月 9 日在 4.1.7 版本中全面修补,以关闭漏洞并确保插件安全。
在 Elementor 的 WordPress Plus 插件中发现了一个零日漏洞。 该漏洞允许全站点接管。 安全研究人员建议立即禁用该插件以避免被黑客入侵。
该漏洞利用并不存在于 Elementor 本身,它存在于一个扩展 Elementor 的流行插件中。
零日漏洞
零日漏洞是黑客知道但软件开发人员没有补丁来阻止它的漏洞。
通常,漏洞被发现,软件开发人员有时间在黑客发现漏洞之前修复它。
在典型的零日漏洞场景中,该漏洞是已知的并被黑客积极利用,而软件开发人员正在竞相发现漏洞是什么。
这就是为什么零日漏洞被认为是高度关注的原因,因为网站很可能在发现漏洞和发布补丁之间的时间内被黑客入侵。
Elementor Exploit 的 Plus 插件
Elementor 的 Plus 插件是一套包含一百多个小部件、模板和块的套件,可扩展使用 Elementor 页面构建器插件的网站的设计可能性。
Elementor 是一个页面构建器插件,它扩展了原生 WordPress 编辑器,使创建有吸引力的网站变得更加容易。
但该漏洞不在 Elementor 上。 该漏洞存在于扩展 Elementor 设计功能的插件上。
Elementor 漏洞的 Plus 插件是什么?
Elementor 插件有两种 Plus 插件。 有免费版和付费版。
免费版本中不存在该漏洞。 因此,如果您使用的是免费版本的插件,那么您的网站是安全的。
该插件的付费版本不安全。
Plus Addon 的付费版本存在漏洞
根据 Wordfence 安全研究人员的说法,该插件的注册和登录小部件模块是攻击媒介。
“如果您使用 The Plus Addons for Elementor 插件,我们强烈建议您完全停用并删除该插件,直到此漏洞得到修复。 如果免费版本足以满足您的需求,您可以暂时切换到该版本。
如果您的网站功能依赖于此插件,我们建议完全删除该插件添加的任何注册或登录小部件,并禁用您网站上的注册。 在此发布时没有可用的补丁版本。”
后来发现禁用 WP 登录和注册小部件不足以防止被黑客入侵。
“……即使禁用了“WP 登录和注册”小部件,这些漏洞仍然可以利用。 出于这个原因,我们建议在补丁发布之前暂时停用并删除该插件。”
补丁正在开发中——但现在就采取行动
插件开发人员正在努力创建补丁。 最初的补丁很快发布,但 WordFence 研究人员证实,它并没有完全强化插件以抵御漏洞利用。
现在就采取行动
如上所述,Wordfence 建议完全停用并删除该插件。 如果有依赖插件的站点功能,可以暂时安装免费版本,直到补丁发布。
冒险等待补丁可能是不谨慎的,因为该漏洞正在被积极利用。
