最近未更新的Elementor用户将希望尽快获得最新版本3.1.4。Wordfence的研究人员于2月向其作者披露了该插件中存储的一组跨站点脚本(XSS)漏洞,该漏洞在当时进行了部分修补,并在3月的第二周发布了其他修复程序。
Wordfence在昨天发布的帖子中总结了这些漏洞,并详细介绍了攻击者如何使用Elementor危害网站的过程:
这些漏洞使任何能够访问Elementor编辑器的用户(包括贡献者)都可以将JavaScript添加到帖子中。如果该帖子被任何其他站点用户查看,编辑或预览,则将执行此JavaScript;如果受害者是管理员,则可用于接管该站点。
插件的许多“元素”或组件都接受一个html_tag
参数,该参数输出时不会转义,可以将其设置为执行脚本。一些易受攻击的元素包括列,手风琴,标题,分隔线,图标框和图像框。
发布时,只有不到一半的Elementor安装在3.1.x版上运行,从而使数百万个站点仍然容易受到攻击。Wordfence今天早上证实,他们目前尚未看到针对这些漏洞的主动攻击。
Wordfence安全研究员Ram Gall说:“由于所需的特权,我们希望它主要用于有针对性的攻击,而不是广泛的尝试。” “也就是说,一旦攻击者能够进入大门,它就可能被用于特权升级,而不是完整的从头到尾的利用链。对于拥有许多贡献者或作者用户的网站,这将是一个更大的问题,因为这意味着更广泛的攻击面。引起关注的主要原因是安装数量庞大。”
发现漏洞的加尔(Gall)描述了最容易利用它们的情况。该站点上的贡献者重复使用了发生数据泄露的密码。攻击者找到该密码,登录并添加带有恶意代码的帖子。管理员可以在管理员中查看来自贡献者的帖子。访问该帖子将在浏览器中运行恶意JavaScript,Gall表示可能会使用新的恶意管理员帐户或代码来感染该网站,以接管该网站。
除了在变更日志中简短提及之外,Elementor并未向用户警告产品博客或社交媒体帐户上的安全问题:
- 修复:强化了编辑器中允许的选项,以实施更好的安全策略
- 修复:
html
灯箱模块中的选项已删除 ,以防止安全问题
Wordfence代表Kathy Zant说:“ Elementor最初反应非常好,尽管在初次报告发布后他们没有让我们了解补丁程序。” “他们确实在他们的站点上列出了安全联系人,这总是有帮助的。通常,安全研究人员很难确定并联系合适的人以与他们分享漏洞概念证明,因此,我们总是很感激能够轻松启动这些讨论。”
最新版本3.1.4包含针对这些漏洞的修补程序,以及针对插件中其他较不严重的错误的修复程序。建议Elementor用户尽快进行更新,以避免将这些漏洞用于网站接管。
新主题官方微信公众号
扫码关注新主题(XinTheme)官方公众号,本站动态早知道。
发布本站最新动态(新主题发布、主题更新)和WordPress相关技术文章。