最近未更新的Elementor用戶將希望儘快獲得最新版本3.1.4。 Wordfence的研究人員於2月向其作者披露了該插件中存儲的一組跨站點腳本(XSS)漏洞,該漏洞在當時進行了部分修補,並在3月的第二周發布了其他修復程序。
Wordfence總結了一個漏洞 郵政 昨天發布,並附有詳細的演練,介紹了攻擊者如何使用Elementor危害網站:
這些漏洞使任何能夠訪問Elementor編輯器的用戶(包括貢獻者)都可以將JavaScript添加到帖子中。 如果該帖子被任何其他站點用戶查看,編輯或預覽,則將執行此JavaScript;如果受害者是管理員,則可用於接管該站點。
插件的許多「元素」或組件都接受html_tag參數,該參數的輸出無需轉義,可以將其設置為執行腳本。 一些易受攻擊的元素包括列,手風琴,標題,分隔線,圖標框和圖像框。
發布時,只有不到一半的Elementor安裝在3.1.x版上運行,從而使數百萬個站點仍然容易受到攻擊。 Wordfence今天早上證實,他們目前尚未看到針對這些漏洞的主動攻擊。
Wordfence安全研究員Ram Gall說:「由於所需的特權,我們希望它主要用於有針對性的攻擊,而不是廣泛的嘗試。」 「也就是說,一旦攻擊者能夠進入大門,它就可能被用於特權升級,而不是完整的從頭到尾的漏洞利用鏈。 對於擁有許多貢獻者或作者用戶的網站,這將是一個更大的問題,因為這意味著更廣泛的攻擊面。 引起關注的主要原因是安裝數量龐大。」
發現漏洞的加爾(Gall)描述了最容易利用它們的情況。 該站點上的貢獻者重複使用了發生數據泄露的密碼。 攻擊者找到該密碼,登錄並添加帶有惡意代碼的帖子。 管理員可以在管理員中查看來自貢獻者的帖子。 訪問該帖子將在瀏覽器中運行惡意JavaScript,Gall表示可能會使用新的惡意管理員帳戶或代碼來感染該網站以接管該網站。
除了在變更日誌中簡短提及之外,Elementor並未向用戶警告產品博客或社交媒體帳戶上的安全問題:
- 修復:強化了編輯器中允許的選項,以實施更好的安全策略
- 修復:刪除了燈箱模塊中的html選項以防止安全問題
Wordfence代表Kathy Zant說:「 Elementor最初反應非常好,儘管在初次報告發布後他們沒有讓我們了解補丁程序。」 「他們確實在他們的站點上列出了安全聯繫人,這總是有幫助的。 通常,安全研究人員很難確定並聯繫合適的人以與他們分享漏洞概念證明,因此,我們總是很感激能夠輕鬆地開始進行這些討論。」
最新版本3.1.4包含針對這些漏洞的修補程序,以及針對插件中其他較不嚴重的錯誤的修復程序。 建議Elementor用戶儘快進行更新,以避免將這些漏洞用於網站接管。
像這樣:
像載入中…