WordFence 报告称 Elementor Pro 存在严重的零日漏洞利用。 2020 年 5 月 7 日,该漏洞刚刚被修补。据报道,未修补的版本正在被积极利用。
Elementor 刚刚发布了 Pro 版本 2.9.4,其中包含对关键文件上传漏洞的修复
两个 Elementor 插件易受攻击
根据 WordFence 的说法,涉及两个插件,每个插件都有一个漏洞。
Elementor Pro 是一个易受攻击的插件
Elementor Pro 是 Elementor WordPress 页面构建器插件的付费版本。 此漏洞不影响 Elementor 插件的免费版本。
根据 WordFence,该漏洞被评为“严重”。
黑客需要在网站上注册才能利用该漏洞。
如果您运行一个由 Elementor Pro 提供支持的 WordPress 网站,并且您允许网站访问者注册以便评论或为该网站做出贡献,那么您可能很容易受到攻击。
但是,如果您的 Elementor Pro WordPress 网站没有注册用户,您可能仍然处于危险之中。
您可能仍然处于危险之中的原因是因为 Elementor 的另一个插件 Ultimate Addons 允许黑客注册为订阅者,即使注册被禁止。
这意味着 Elementor 插件的 Ultimate Addons 允许黑客入侵 Elementor Pro。
根据 WordFence:
“由于目前该漏洞尚未修补,我们排除了任何进一步的信息。
我们有来自另一家供应商的数据表明 Elementor 团队正在开发补丁。 我们已经联系了 Elementor,但在发布之前没有立即收到对此的确认。”
Elementor 漏洞的终极插件
第二个易受攻击的插件是 Ultimate Addons for Elementor 插件。 如果关闭用户注册,该漏洞允许黑客利用 Elementor Pro 漏洞。
目前有一个新发布的补丁可用于修复 Elementor Pro 漏洞。 将 Elementor Pro 更新到版本 2.9.4 以受到保护。
还有一个补丁可以修复 Elementor 插件的 Ultimate Addons (这里的说明)。
通过升级 Ultimate Addons 插件(如果您已安装),理论上您可以阻止黑客利用 Elementor Pro 网站,只要禁止用户注册。
如何保护您的 Elementor Pro 网站
WordFence 建议将 Elementor Pro 更新到版本 2.9.4。
Elementor Pro 更新后,您将免受黑客攻击。
阅读 WordFence 公告:
对 Elementor Pro 和 Elementor 终极插件的联合攻击使 100 万个站点处于危险之中
