Elementor 插件的 Ultimate Addons 的发布者通知客户存在影响其两个插件的漏洞。
这是更改日志中与 Brainstorm Force 于 2021 年 3 月修复的修补 Elementor 插件相关的条目:
- 版本 1.30.0 – 已修复 – 2021 年 3 月 30 日
强化了编辑器中允许的选项,以实施更好的安全策略。
Brainstorm Force Elementor 插件漏洞
Elementor 插件的 Ultimate Addons 的发布者通知客户存在影响其两个插件的漏洞。
这两个受影响的插件是流行的 Elementor 页面构建器插件的插件。 插件是扩展 Elementor Page Builder 插件的功能和特性的第三方插件。
带有漏洞的插件插件由第三方 Brainstorm Force 发布。
Elementor 受影响的插件是:
- Elementor 的终极插件
- Elementor – 页眉、页脚和块模板
Brainstorm Force 发送的一封电子邮件指出,他们已收到 Wordfence 安全团队的漏洞通知,并在数小时内做出了回应。
根据电子邮件:
“在每个更新中,我们都修复了 Wordfence 团队报告使用的漏洞。
这些与 Elementor 团队最近在其 3.1.2 版本中修复的非常相似。”
头脑风暴部队邮件截图
Brainstorm Force 引用的 Elementor 漏洞称为存储跨站点脚本漏洞,该漏洞有可能使恶意黑客能够进行整个站点的接管。
(读: WordPress Elementor 漏洞影响 +700 万)
存储的跨站点脚本漏洞
Brainstorm Force 没有明确表示修补的漏洞是存储的跨站点脚本漏洞。 他们仅将固定漏洞与 Elementor 页面构建器软件修补的漏洞进行了比较。
存储的跨站点脚本漏洞是一种恶意脚本直接上传到网站的漏洞。 这种漏洞通常被认为比另一种称为反射 XSS 的跨站点脚本 (XSS) 漏洞更严重,该漏洞依赖于被点击的链接。
对于存储型 XSS 漏洞,无需单击链接,该漏洞存在于受影响的网站上。
Wordfence 尚未发布详细信息
Wordfence 尚未发布该漏洞的详细信息。 截至目前,Brainstorm Force 提供的该漏洞的唯一描述类似于 Elementor 页面构建器漏洞。
但 Brainstorm Force 并没有明确说明他们的插件漏洞是存储型 XSS 漏洞。 只是它们类似于 XSS 漏洞的 Elementor 漏洞。
Elementor 插件的固定版本
Elementor – 页眉、页脚和块模板
Elementor – 页眉、页脚和块模板已于 2021 年 3 月 31 日修补至版本 1.5.8。
根据记录更新所包含内容的变更日志,此更新加强了针对漏洞的攻击。
这就是 变更日志 记录:
“1.5.8
修复:在编辑器中强化了允许的选项,以执行更好的安全策略。”
编辑器需要硬化的事实给出了一个 线索 那 建议 该漏洞可能需要黑客具有订阅者级别的权限。
但这目前还没有得到官方的证实。
Elementor 的终极插件
Elementor 插件的 Ultimate Addons 也在 2021 年 3 月 31 日修补到版本 1.30.0。
给出的修复原因与 Elementor – 页眉、页脚和块模板完全相同。
根据 Elementor 的终极插件 变更日志:
“在编辑器中强化了允许的选项,以实施更好的安全策略。”
立即更新
强烈建议所有使用这两个插件的发布者立即更新他们的版本。
该软件的最新修补版本是:
- Elementor – 页眉、页脚和块模板 1.5.8
- Elementor 1.30.0 的终极插件
