Elementor WordPress 插件存在漏洞或许影响 50 万个站点

发布时间：2022-04-16 02:11:08 所属栏目：站长百科来源：互联网

导读：Bleeping Computer 网站披露，WordPress Elementor 页面构建插件运营者发布 3.6.3 版本，以解决一个远程代码执行漏洞，该漏洞可能影响多达 50 万个网站。据悉，尽管利用该漏洞时需要身份验证，但任何登录到有漏洞网站的用户都可以利用它，包括普通用户。

Bleeping Computer 网站披露，WordPress Elementor 页面构建插件运营者发布 3.6.3 版本，以解决一个远程代码执行漏洞，该漏洞可能影响多达 50 万个网站。

  据悉，尽管利用该漏洞时需要身份验证，但任何登录到有漏洞网站的用户都可以利用它，包括普通用户。另外，安全研究人员认为，未登录的用户也可以利用该漏洞，但是尚未证实这种情况。

  攻击者在存在漏洞的网站上创建一个正常账户，可以改变受影响网站的名称和主题，使其看起来完全不同。

  研究人员表示，唯一的限制是访问一个有效的 nonce，然而，他们发现相关的 nonce 存在于 "WordPress管理页面的源代码中，该代码以 'elementorCommonConfig' 开头，当用户登录时，该代码会被包含在内。"

根据 Plugin Vulnerabilities 的说法，该漏洞是由 2022 年 3 月 22 日发布的 Elementor 3.6.0 版本引入的。

普遍认为这一做法应该能解决漏洞安全问题，但研究人员尚未验证修复方法有用，而且 Elementor 团队也没有公布任何关于这个补丁的细节。

目前，BleepingComputer 已经联系了 Elementor 的安全团队，以期获得更多的细节，但是尚未收到回复。

最后，建议管理员应用 Elementor WordPress 插件的最新可用更新，或从网站上完全删除该插件。

（编辑：天瑞地安资讯网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

小米笔记本proX15屏幕	win7重装系统要多长时
联想小y怎么样	win7怎么禁止陌生U盘开

Elementor WordPress 插件存在漏洞 或许影响 50 万个站点

Elementor WordPress 插件存在漏洞或许影响 50 万个站点