前言

根据wordpress安全机构:Bleeping Computer 网站披露,WordPress Elementor 页面构建插件运营者发布 3.6.3 版本,以解决一个远程代码执行漏洞,该漏洞可能影响多达 50 万个网站。目前有 500 万安装量的 WordPress 页面构建插件存在远程代码执行的漏洞。

正文

Plugin Vulnerabilities 通过第三方监控数据发现,黑客通过请求以下文件来探测站点是否使用 Elementor :

/wp-content/plugins/elementor/readme.txt

这一不寻常的行为说明可能 Elementor 可能存在安全漏洞,所以 Plugin Vulnerabilities 做了一些标准的安全检查,因为很多应该做权限判断的地方都没有处理,并且还有一处可能存在最严重的安全漏洞:RCE(远程代码执行的漏洞)。

尽管利用该漏洞时需要身份验证,但是有漏洞网站的任意权限的登录用户都可以利用该漏洞,包括最普通权限的用户。

Elementor 插件文件 "module.php" 缺乏关键的访问权限检查,导致该文件在 admin_init Hook 的每个请求中都被加载,即使没有登录的用户,也是如此。

如果 admin_init 根据请求的调用了upload_and_install_pro() 函数,该函数将安装随请求发送的 WordPress 插件,攻击者就可以将恶意文件放在里面以实现远程代码执行。

该漏洞是在 3 月 22 日发布的 Elementor 3.6.0 版本的插件中引入的,根据 WordPress 的最新统计数据,该插件的 30.3% 的用户现在使用的是 3.6.x 版本。

最新的 3.6.3 版本包括一个提交功能,使用 "current_user_can" WordPress 函数判断只有管理员才能执行该操作,实现了对 nonce 访问的额外权限检查。

我们是否应该使用Elementor?

没什么缺点。最大的但也是最严重的缺点就是慢,我们一直在做优化,到这个玩意儿根本优化不了(太多的js和css)。不过对于不懂代码的站长很是方便,所以用于不用在于需求。下一篇文章我会写一篇教程。帮助你更好的使用Elementor