在 Elementor 中发现了一个漏洞,从 3.6.0 版本开始,攻击者可以上传任意代码并进行完整的站点接管。 该漏洞是由于新的“入职”向导功能中缺乏适当的安全策略而引入的。
缺少能力检查
Elementor 中的缺陷与所谓的能力检查有关。
能力检查是所有插件制造商都必须编写的安全层。 能力检查的作用是检查任何登录用户的权限级别。
例如,具有订阅者级别权限的人可能能够向文章提交评论,但他们不具有授予他们访问 WordPress 编辑屏幕以将帖子发布到站点的权限级别。
用户角色可以是管理员、编辑者、订阅者等,每个级别都包含分配给每个用户角色的用户权限。
当插件运行代码时,它应该检查用户是否有足够的能力执行该代码。
WordPress 发布了专门解决这一重要安全检查的插件手册。
章节名为, 检查用户能力 它概述了插件制造商需要了解的有关此类安全检查的内容。
WordPress 手册建议:
“检查用户能力
如果你的插件允许用户提交数据——无论是在管理端还是公共端——它应该检查用户能力。
…创建高效安全层的最重要步骤是建立用户权限系统。 WordPress 以用户角色和功能的形式提供了这一点。”
Elementor 版本 3.6.0 引入了一个新模块(入职模块),该模块未能包含功能检查。
所以 Elementor 的问题不在于黑客很聪明,他们发现了一种方法来对基于 Elementor 的网站进行全站点接管。
Elementor 中的漏洞利用是由于未能在应有的地方使用能力检查。
根据 Wordfence 发布的报告:
“不幸的是,在易受攻击的版本中没有使用能力检查。
攻击者可以制作伪造的恶意“Elementor Pro”插件 zip 并使用此功能进行安装。
假插件中存在的任何代码都将被执行,这些代码可用于接管站点或访问服务器上的其他资源。”
建议操作
该漏洞是在 Elementor 版本 3.6.0 中引入的,因此在该版本之前的版本中不存在。
Wordfence 建议发布者更新到版本 3.6.3。
不过,官方 元素变更日志 声明版本 3.6.4 修复了与受影响的入职向导模块相关的清理问题。
所以更新到 Elementor 3.6.4 可能是个好主意。
Elementor WordPress 插件变更日志截图
引文
阅读有关 Elementor 漏洞的 Wordfence 报告
