最近未更新的Elementor用戶將希望盡快獲得最新版本3.1.4。Wordfence的研究人員于2月向其作者披露了該插件中存儲的一組跨站點腳本(XSS)漏洞,該漏洞在當時進行了部分修補,并在3月的第二周發(fā)布了其他修復程序。
Wordfence在昨天發(fā)布的帖子中總結了這些漏洞,并詳細介紹了攻擊者如何使用Elementor危害網站的過程:
這些漏洞使任何能夠訪問Elementor編輯器的用戶(包括貢獻者)都可以將JavaScript添加到帖子中。如果該帖子被任何其他站點用戶查看,編輯或預覽,則將執(zhí)行此JavaScript;如果受害者是管理員,則可用于接管該站點。
插件的許多“元素”或組件都接受一個html_tag
參數,該參數輸出時不會轉義,可以將其設置為執(zhí)行腳本。一些易受攻擊的元素包括列,手風琴,標題,分隔線,圖標框和圖像框。
發(fā)布時,只有不到一半的Elementor安裝在3.1.x版上運行,從而使數百萬個站點仍然容易受到攻擊。Wordfence今天早上證實,他們目前尚未看到針對這些漏洞的主動攻擊。
Wordfence安全研究員Ram Gall說:“由于所需的特權,我們希望它主要用于有針對性的攻擊,而不是廣泛的嘗試。” “也就是說,一旦攻擊者能夠進入大門,它就可能被用于特權升級,而不是完整的從頭到尾的利用鏈。對于擁有許多貢獻者或作者用戶的網站,這將是一個更大的問題,因為這意味著更廣泛的攻擊面。引起關注的主要原因是安裝數量龐大。”
發(fā)現漏洞的加爾(Gall)描述了最容易利用它們的情況。該站點上的貢獻者重復使用了發(fā)生數據泄露的密碼。攻擊者找到該密碼,登錄并添加帶有惡意代碼的帖子。管理員可以在管理員中查看來自貢獻者的帖子。訪問該帖子將在瀏覽器中運行惡意JavaScript,Gall表示可能會使用新的惡意管理員帳戶或代碼來感染該網站,以接管該網站。
除了在變更日志中簡短提及之外,Elementor并未向用戶警告產品博客或社交媒體帳戶上的安全問題:
- 修復:強化了編輯器中允許的選項,以實施更好的安全策略
- 修復:
html
燈箱模塊中的選項已刪除 ,以防止安全問題
Wordfence代表Kathy Zant說:“ Elementor最初反應非常好,盡管在初次報告發(fā)布后他們沒有讓我們了解補丁程序。” “他們確實在他們的站點上列出了安全聯系人,這總是有幫助的。通常,安全研究人員很難確定并聯系合適的人以與他們分享漏洞概念證明,因此,我們總是很感激能夠輕松啟動這些討論。”
最新版本3.1.4包含針對這些漏洞的修補程序,以及針對插件中其他較不嚴重的錯誤的修復程序。建議Elementor用戶盡快進行更新,以避免將這些漏洞用于網站接管。
新主題官方微信公眾號
掃碼關注新主題(XinTheme)官方公眾號,本站動態(tài)早知道。
發(fā)布本站最新動態(tài)(新主題發(fā)布、主題更新)和WordPress相關技術文章。