Elementor 修復了一個嚴重的遠程代碼執行漏洞,該漏洞是 發現 由 Wordfence 的威脅分析師 Ramuel Gall 於 2022 年 3 月 29 日發布。Wordfence 通過其官方安全聯繫人電子郵件地址向 Elementor 披露了該漏洞,但未收到及時回復。 2022 年 4 月 11 日,Wordfence 向 WordPress 插件團隊披露了該漏洞。 Elementor 於 2022 年 4 月 12 日發布了 3.6.3 版本的補丁。
Wordfence 將該漏洞描述為「導致訂閱者+遠程代碼執行的訪問控制不足」。 它獲得了 CVSS(通用漏洞評分系統)分數 9.9(嚴重). 該漏洞影響最近在 3.6.0 版中引入的 Elementor 的新入職模塊。
Wordfence 發布了關於攻擊者如何獲得未經授權訪問的技術解釋:
該模塊使用一種不尋常的方法來註冊 AJAX 操作,在其構造函數中添加一個 admin_init 偵聽器,該偵聽器首先檢查請求是否發往 AJAX 端點,並在調用 may_handle_ajax 函數之前包含有效的隨機數。
不幸的是,在易受攻擊的版本中沒有使用能力檢查。 經過身份驗證的用戶可以通過多種方式獲取 Ajax::NONCE_KEY,但最簡單的方法之一是以登錄用戶的身份查看管理儀錶板的源代碼,因為它存在於所有經過身份驗證的用戶中,甚至對於訂閱者級別的用戶。
Elementor 安裝在超過 500 萬個 WordPress 網站上,但此特定漏洞影響版本 3.6.0 – 3.6.2。 最多,這會影響 約 34% 的用戶,根據插件當前活動版本的統計信息。 現在該漏洞已公開,建議 Elementor 用戶立即更新到 3.6.3 或更高版本。 根據插件的更改日誌,3.6.4 版附帶了一個相關的安全修復程序:「修復:優化控制清理以在入職嚮導中實施更好的安全策略。」