WordPress 的 Elementor 网站构建器插件的作者刚刚发布了 3.6.3 版,以解决可能影响多达 500,000 个网站的关键远程代码执行漏洞。
尽管利用该漏洞需要身份验证,但它的严重性在于任何登录到易受攻击网站的人都可以利用它,包括普通订阅者。
在受影响的网站上创建普通用户帐户的威胁行为者可能会更改受影响网站的名称和主题,使其看起来完全不同。
安全研究人员认为,未登录的用户也可以利用 Elementor 插件中最近修复的漏洞,但他们尚未证实这种情况。
漏洞详细信息
在发现该漏洞的 WordPress 安全服务插件漏洞研究人员本周发布的一份报告中,描述了 Elementor 中该问题背后的技术细节。
研究人员解释说,问题在于没有对插件文件之一module.php进行重要的访问检查,该文件在 admin_init 操作期间的每个请求中都会加载,即使对于未登录的用户也是如此。
“我们发现的 RCE 漏洞涉及可通过前一个函数访问的函数 upload_and_install_pro()。该函数将安装随请求发送的 WordPress 插件” - 插件漏洞
admin_init 操作触发的功能之一允许以 WordPress 插件的形式上传文件。威胁者可以将恶意文件放在那里以实现远程代码执行。
研究人员说,唯一的限制是获得有效的随机数。但是,他们发现相关的随机数存在于WordPress管理页面的源代码中,该页面以elementorCommonConfig开头,当以订阅者角色的用户身份登录时,该源代码包含在内。
影响和修理
根据插件漏洞,该问题是在 2022 年 3 月 22 日发布的 Elementor 3.6.0 中引入的。
WordPress 统计报告显示,大约 30.7% 的 Elementor 用户已升级到 3.6.x 版本,这表明可能受影响的站点的最大数量约为 1,500,000。
该插件今天已被下载超过一百万次。假设所有这些都是针对 3.6.3 的,那么仍然存在大约 500,000 个易受攻击的网站。
最新版本包括一个提交,它使用current_user_can函数对随机数的访问进行额外检查。
虽然这应该可以解决安全漏洞,但研究人员尚未验证修复程序,Elementor团队尚未发布有关该补丁的任何细节。
BleepingComputer已与Elementor的安全团队联系,并将在收到回复后立即更新本文。
Plugin Vulnerabilities还发布了概念证明(PoC)来证明其可利用性,增加了易受攻击的网站受到损害的风险。
建议管理员应用Elementor WordPress插件的最新更新,或从您的网站中完全删除该插件。
更多讯息,请参考链接:Critical flaw in Elementor WordPress .....
