Elementor WordPress 插件存在漏洞 或许影响 50 万个站点
发布时间:2022-04-15 15:04 所属栏目:53 来源:互联网
导读:Bleeping Computer 网站披露,WordPress Elementor 页面构建插件运营者发布 3.6.3 版本,以解决一个远程代码执行漏洞,该漏洞可能影响多达 50 万个网站。 据悉,尽管利用该漏洞时需要身份验证,但任何登录到有漏洞网站的用户都可以利用它,包括普通用户。另
|
Bleeping Computer 网站披露,WordPress Elementor 页面构建插件运营者发布 3.6.3 版本,以解决一个远程代码执行漏洞,该漏洞可能影响多达 50 万个网站。 据悉,尽管利用该漏洞时需要身份验证,但任何登录到有漏洞网站的用户都可以利用它,包括普通用户。另外,安全研究人员认为,未登录的用户也可以利用该漏洞,但是尚未证实这种情况。 攻击者在存在漏洞的网站上创建一个正常账户,可以改变受影响网站的名称和主题,使其看起来完全不同。 研究人员表示,唯一的限制是访问一个有效的 nonce,然而,他们发现相关的 nonce 存在于 "WordPress管理页面的源代码中,该代码以 'elementorCommonConfig' 开头,当用户登录时,该代码会被包含在内。" 根据 Plugin Vulnerabilities 的说法,该漏洞是由 2022 年 3 月 22 日发布的 Elementor 3.6.0 版本引入的。 普遍认为这一做法应该能解决漏洞安全问题,但研究人员尚未验证修复方法有用,而且 Elementor 团队也没有公布任何关于这个补丁的细节。 目前,BleepingComputer 已经联系了 Elementor 的安全团队,以期获得更多的细节,但是尚未收到回复。 最后,建议管理员应用 Elementor WordPress 插件的最新可用更新,或从网站上完全删除该插件。 (编辑:ASP站长网) |
相关内容
Redis未授权检测漏洞G
严峻Web对抗环境下的W
遭黑客盗走AMD GPU 部
企业级信息防泄漏大方网友评论
推荐文章
热点阅读
