Elementor 修复了一个严重的远程代码执行漏洞,该漏洞是 发现 由 Wordfence 的威胁分析师 Ramuel Gall 于 2022 年 3 月 29 日发布。Wordfence 通过其官方安全联系人电子邮件地址向 Elementor 披露了该漏洞,但未收到及时回复。 2022 年 4 月 11 日,Wordfence 向 WordPress 插件团队披露了该漏洞。 Elementor 于 2022 年 4 月 12 日发布了 3.6.3 版本的补丁。
Wordfence 将该漏洞描述为“导致订阅者+远程代码执行的访问控制不足”。 它获得了 CVSS(通用漏洞评分系统)分数 9.9(严重). 该漏洞影响最近在 3.6.0 版中引入的 Elementor 的新入职模块。
Wordfence 发布了关于攻击者如何获得未经授权访问的技术解释:
该模块使用一种不寻常的方法来注册 AJAX 操作,在其构造函数中添加一个 admin_init 侦听器,该侦听器首先检查请求是否发往 AJAX 端点,并在调用 may_handle_ajax 函数之前包含有效的随机数。
不幸的是,在易受攻击的版本中没有使用能力检查。 经过身份验证的用户可以通过多种方式获取 Ajax::NONCE_KEY,但最简单的方法之一是以登录用户的身份查看管理仪表板的源代码,因为它存在于所有经过身份验证的用户中,甚至对于订阅者级别的用户。
Elementor 安装在超过 500 万个 WordPress 网站上,但此特定漏洞影响版本 3.6.0 – 3.6.2。 最多,这会影响 约 34% 的用户,根据插件当前活动版本的统计信息。 现在该漏洞已公开,建议 Elementor 用户立即更新到 3.6.3 或更高版本。 根据插件的更改日志,3.6.4 版附带了一个相关的安全修复程序:“修复:优化控制清理以在入职向导中实施更好的安全策略。”