BleepingComputer网站披露,WordPressElementor页面构建器插件运营商发布了3.6.3版本,以解决可能影响多达500,000个站点的远程代码执行漏洞。据悉,虽然利用该漏洞需要进行身份验证,但任何登录该漏洞网站的用户都可以利用该漏洞,包括普通用户。此外,安全研究人员认为未登录的用户也可以利用该漏洞,但尚未证实确实如此。在易受攻击的网站上创建合法帐户的攻击者可以更改受影响网站的名称和主题,使其看起来完全不同。漏洞详情本周,WordPress安全服务PluginVulnerabilities的研究人员发布了一份报告,描述了Elementor漏洞背后的技术细节。研究人员解释说,问题在于插件的一个文件“module.php”缺少关键的访问检查,导致在admin_init操作期间的每个请求都加载该文件,即使没有登录用户也是如此.此外,研究人员发现RCE漏洞可能涉及upload_and_install_pro()函数,该函数会安装随请求发送的WordPress插件。此时admin_init允许以WordPress插件形式上传文件,威胁行为者可以将恶意文件放入其中,实现远程代码执行。文件上传功能激活注入的恶意插件研究人员表示,唯一的限制是访问一个有效的随机数,然而,他们发现相关的随机数存在于以'elementorCommonConfig'开头的“WordPress管理页面”的源代码中,当用户时登录,包含代码。”影响及修复根据PluginVulnerabilities,该漏洞存在于2022年3月22日发布的Elementor3.6.0版本中。WordPress统计报告显示,约30.7%的Elementor用户已升级至3.6.x版本,数据显示显示可能受影响的网站最大数量约为150万个。此外,插件版本3.6.3的下载量略高于100万次,即约有50万个易受攻击的站点。最新的3.6.3版本包括一个提交功能,该功能使用“current_user_can”WordPress函数实现对nonce访问的额外检查。人们普遍认为致力于解决Elementor中的安全漏洞可以解决安全问题,但研究人员尚未验证该修复程序是否有效,Elementor团队尚未发布有关该补丁的任何细节。BleepingComputer已联系Elementor的安全团队了解更多详情,但尚未收到回复。最后,建议管理员为ElementorWordPress插件应用最新的可用更新,或者从网站上完全删除该插件。参考文章:https://www.bleepingcomputer.com/news/security/critical-flaw-in-elementor-wordpress-plugin-may-affect-500k-sites/
