最近没有更新的 Elementor 用户会希望尽快获得最新版本 3.1.4。 Wordfence 研究人员在 2 月份向其作者披露了一组存储在该插件中的跨站点脚本 (XSS) 漏洞,当时已对这些漏洞进行了部分修补,并在 3 月的第二周发布了额外的修复程序。
Wordfence 总结了昨天发布的漏洞帖子,以及攻击者如何使用 Elementor 破坏网站的详细演练:
这些漏洞允许任何有权访问 Elementor 编辑器的人(包括贡献者)将 JavaScript 添加到帖子中。如果帖子被任何其他网站用户查看、编辑或预览,此 JavaScript 将被执行,如果受害者是管理员,则可用于接管该网站。
插件的许多“元素”或组件接受一个 html_tag 参数,其输出不需要转义,可以设置为执行脚本。一些易受攻击的元素包括列、手风琴、标题、分隔线、图标框和图像框。
在发布时,只有不到一半的 Elementor 安装在 3.1.x 版本上运行,导致数百万站点仍然容易受到攻击。 Wordfence 今天早上证实,到目前为止,他们还没有看到针对这些漏洞的主动攻击。
Wordfence 安全研究员 Ram Gall “由于所需的特权,我们希望它主要用于有针对性的攻击,而不是广泛的尝试,”作者说。不是一个完整的从头到尾的漏洞利用链。对于拥有许多贡献者或作者用户的站点,这将是一个更大的问题,因为这意味着更广泛的攻击面。引起关注的主要原因是大量安装
发现这些漏洞的 Gall 描述了最容易被利用的情况。该网站的贡献者重复使用了发生数据泄露的密码。攻击者找到该密码、登录并添加带有恶意代码的帖子。管理员可以在管理员中查看贡献者的帖子。访问该帖子将在浏览器中运行恶意 JavaScript,Gall 表示,这可能会使用新的恶意管理员帐户或代码感染该网站,从而接管该网站。
除了更新日志中的简短提及外,Elementor 没有在产品博客或社交媒体帐户上警告用户存在安全问题:
- 修复:强化了编辑器选项允许在浏览器中执行更好的安全策略
- 修复:删除灯箱模块中的 html 选项以防止安全问题
Wordfence 代表 Kathy Zant 说:“Elementor 最初响应非常好,尽管他们在最初的报告后没有让我们知道补丁。” “他们的网站上确实列出了一个安全联系人,这总是有帮助的。通常,安全研究人员可能很难识别并与合适的人联系以分享概念证明,所以我们总是很感激能够轻松开始这些讨论。”
最新版本 3.1.4 包含对这些漏洞程序的修复,以及对插件中其他不太严重的错误的修复。建议 Elementor 用户尽快更新,避免利用这些漏洞进行网站接管。
像这样:
图片加载中...
来源