Elementor WordPress 插件的基本插件,最近有超过一百万用户修补了多个漏洞,这些漏洞可能允许恶意攻击者在目标 WordPress 网站上运行任意代码。
LFI 到 RCE 攻击漏洞
根据美国政府 NIST 网站的说法,Essential Addons for Elementor 插件上的漏洞使攻击者有可能发起本地文件包含攻击,这是一种允许攻击者导致 WordPress 安装泄露敏感信息并读取任意文件的漏洞。文件。
从那里,攻击可能导致更严重的攻击,称为远程代码执行 (RCE)。 远程代码执行是一种非常严重的攻击形式,黑客能够在 WordPress 站点上运行任意代码并造成一系列损害,包括整个站点的接管。
例如,可以通过将 URL 参数更改为可能泄露敏感信息的内容来完成本地文件包含攻击。
这是因为 Elementor WordPress 插件的基本插件没有正确验证和清理数据。
数据清理是一个用于限制可能输入的信息种类的过程。 简单来说,数据清理可以被认为是只允许特定输入的锁,即具有特定模式的密钥。 未能执行数据清理可能类似于允许任何钥匙打开它的锁。
根据美国政府 国家漏洞数据库:
“ 5.0.5 之前的 Elementor WordPress 插件的基本插件不会在包含语句中验证和清理一些模板数据,这可能允许未经身份验证的攻击者执行本地文件包含攻击并读取服务器上的任意文件,这也可能导致通过用户上传的文件或其他 LFI 到 RCE 技术到 RCE。”
安全站点 WPScan 谁是最先发现和发现的 报告漏洞 发布了以下描述:
“该插件不会在包含语句之前验证和清理某些模板数据,这可能允许未经身份验证的攻击者执行本地文件包含攻击并读取服务器上的任意文件,这也可能通过用户上传的文件或其他 LFI 导致 RCE到 RCE 技术。”
Elementor 的基本插件已修补
该漏洞于 2022 年 2 月 1 日在国家漏洞数据库网站上公布。
但根据 Essential Addons Lite 更新日志,“Lite”版 Essential Addons for Elementor 插件自 1 月底以来一直在修补漏洞。
变更日志是为每个版本的软件程序(如 WordPress 插件)所做的所有更改的日志文件,已更新。 这是所有改变的记录。
更改日志的目的是记录更改的内容,并为软件用户提供透明度,他们可以在更新之前查看它并决定更新是否重要或花一些时间测试插件一个临时站点,以查看更改是否会影响其他插件和正在使用的主题。
奇怪的是,Pro 版本的变更日志只提到“很少有小错误修复和改进”,但对安全修复的提及为零。
Elementor Pro 更新日志的基本插件的屏幕截图
为什么专业版的 WordPress 插件缺少安全修复信息?
Elementor Lite 插件的基本插件精简版的变更日志
涵盖版本 5.0.3 至 5.0.5 的 Lite 版本的变更日志已于 2022 年 1 月 25 日至 28 日更新,以修复以下问题:
- 固定:动态小部件中的参数清理
- 改进:用于安全增强的清理模板文件路径
- 改进:增强安全性以防止通过 ajax 请求从远程服务器包含不需要的文件
变更日志指出,今天在 2022 年 2 月 2 日,对 5.0.6 版本执行了以下安全增强:
- 改进:数据清理、验证和转义以增强安全性
Elementor 插件的基本插件的最安全版本是什么?
美国政府漏洞数据库尚未分配严重性评分,因此目前尚不清楚该漏洞的严重程度。
但是,远程代码执行漏洞尤其令人担忧,因此更新到最新版本的 Essential Addons 插件可能是个好主意。
WPScan 网站指出,这些漏洞已在 Elementor Plugin 版本 5.0.5 的 Essential Addons 中修复。
但是,该插件的 Lite 版本的插件更改日志指出,5.0.6 版在今天(2022 年 2 月 22 日)修复了一个额外的数据清理问题。
因此,至少更新到 5.0.6 版本可能是谨慎的。
