Elementor是一款流行的轻量级WordPress页面构建插件,它有免费版和Pro版本可供选择,具有现代、简洁的编辑方式,使用户可以无需代码便能自己构建网页。Elementor 3.6.0版本引入了一个新功能来简化插件设置,不过最近被发现它可能存在远程代码执行的漏洞。
本次发现的这个安全漏洞可以被有权访问WordPress管理仪表板的经过身份验证的攻击者利用,包括最普通权限的用户,另外它也可能被未登录的威胁参与者使用。该漏洞似乎使攻击者能够通过更改名称、徽标、图像和主题等元素来完全改变目标站点的外观。
Elementor插件文件 “module.php” 缺乏关键的访问权限检查,导致该文件在admin_init Hook的每个请求中都被加载,即使没有登录的用户,也是如此。如果admin_init根据请求的调用了upload_and_install_pro() 函数,该函数将安装随请求发送的WordPress插件,攻击者就可以将恶意文件放在里面以实现远程代码执行。
目前Elementor 3.6.0、3.6.1、3.6.2版本都比较容易受攻击,为了安全起见,建议大家立即升级至最新的插件版本来修复这一安全问题。
如果我们使用的是经过优化的WordPress主机托管网站,那么系统会提示更新Elementor插件版本以修复漏洞,以保证网站安全性。