Loading
0

元素插件及其終極擴展出現Bug可能會給一百萬網站帶來風險

WordPress元素插件Elementor是一款可視化編輯器,支持前端編輯,提供了許多元素,用戶無需代碼經驗即可完成網站編輯工作,結合其終極擴展Ultimate Addons for Elementor,無需專業的網站設計師都可以做出專業水準的網站。正因如此,今年早些時候Elementor獲得首輪1500萬美元融資。

元素插件及其終極擴展出現Bug可能會給一百萬網站帶來風險

目前Elementor用戶已超過400萬用戶,但是日前元素插件及其終極擴展出現Bug,這可能會給一百萬網站帶來風險。

兩個WordPress插件Elementor和Ultimate Addons for Elementor出現Bug

Wordfence的研究人員在兩個單獨但相關的WordPress插件中發現了安全漏洞。如觀察到的,同時利用兩個插件中的錯誤可能會導致巨大的網絡攻擊。 研究人員在博客文章中詳細說明了這些問題,并強調指出Elementor Pro插件中存在嚴重的嚴重漏洞。利用該漏洞可以進行遠程代碼執行攻擊,因為任何注冊用戶都可以上傳任意文件。正如研究人員所解釋的:

能夠遠程執行您站點上代碼的攻擊者可以安裝后門或Webshel??l來維護訪問權限,獲得對WordPress的完全管理訪問權,甚至完全刪除您的站點。

這是一個Zero-day(零日漏洞,即安全補丁與瑕疵曝光的同一日內,相關的惡意程序就出現,并對漏洞進行攻擊)漏洞,如不引起重視,該漏洞具有極大的破壞性。

黑客可以通過注冊登錄直接在網站上利用該漏洞。即使在關閉用戶注冊選項,黑客還可以通過Ultimate Addons for Elementor繞開注冊進行攻擊。

元素插件及其終極擴展出現Bug可能會給一百萬網站帶來風險

補丁推出

Wordfence已經評估了對該漏洞的影響情況,估計約一百萬網站受到影響。他們甚至檢查了一些受感染的網站,以確認威脅。如他們的帖子所述, 由于這是主動攻擊,因此我們應該引起重視,以便您可以采取步驟保護您的網站。目前插件開發者已經修復了此bug。因此,用戶應確保將其網站上的插件更新為Elementor Pro 2.9.4版以及Elementor 1.24.2或更高版本的Ultimate Addons。 此外,研究人員還建議采取以下措施,以確保網站不受損害。

-檢查您網站上是否有未知的訂閱級別用戶。

–檢查名為“ wp-xmlrpc.php”的文件。

–刪除在/ wp-content / uploads / elementor / custom-icons /目錄中找到的所有未知文件或文件夾。