Bleeping Computer 網(wǎng)站披露，WordPress Elementor 頁面構(gòu)建插件運(yùn)營者發(fā)布 3.6.3 版本，以解決一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞可能影響多達(dá) 50 萬個(gè)網(wǎng)站。

據(jù)悉，盡管利用該漏洞時(shí)需要身份驗(yàn)證，但任何登錄到有漏洞網(wǎng)站的用戶都可以利用它，包括普通用戶。另外，安全研究人員認(rèn)為，未登錄的用戶也可以利用該漏洞，但是尚未證實(shí)這種情況。

攻擊者在存在漏洞的網(wǎng)站上創(chuàng)建一個(gè)正常賬戶，可以改變受影響網(wǎng)站的名稱和主題，使其看起來完全不同。

漏洞細(xì)節(jié)

本周，WordPress 安全服務(wù)機(jī)構(gòu) Plugin Vulnerabilities 的研究人員發(fā)布報(bào)告，描述了 Elementor 漏洞問題背后的技術(shù)細(xì)節(jié)。研究人員解釋稱，問題在于該插件的一個(gè)文件 "module.php "缺乏關(guān)鍵的訪問檢查，導(dǎo)致該文件在 admin_init 操作期間的每個(gè)請求中都被加載，即使沒有登錄的用戶，也是如此。

另外，研究人員發(fā)現(xiàn)發(fā)現(xiàn) RCE 漏洞可能涉及函數(shù) upload_and_install_pro()，該函數(shù)將安裝隨請求發(fā)送的 WordPress 插件，這時(shí)， admin_init 允許以 WordPress 插件的形式上傳文件， 威脅者可以將惡意文件放在里面以實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

文件上傳功能

激活注入的惡意插件

研究人員表示，唯一的限制是訪問一個(gè)有效的 nonce，然而，他們發(fā)現(xiàn)相關(guān)的 nonce 存在于 "WordPress管理頁面的源代碼中，該代碼以 'elementorCommonConfig' 開頭，當(dāng)用戶登錄時(shí)，該代碼會被包含在內(nèi)。"

影響和修復(fù)

根據(jù) Plugin Vulnerabilities 的說法，該漏洞是由 2022 年 3 月 22 日發(fā)布的 Elementor 3.6.0 版本引入的。

WordPress 的統(tǒng)計(jì)報(bào)告顯示，大約 30.7% 的 Elementor 用戶已經(jīng)升級到 3.6.x 版本，數(shù)據(jù)表明可能受影響網(wǎng)站的最大數(shù)量約為 150 萬個(gè)，另外，3.6.3 版本的插件至今下載量略高于一百萬次，那么還有大約 50 萬個(gè)有漏洞的網(wǎng)站。

最新的 3.6.3 版本包括一個(gè)提交功能，使用 "current_user_can "WordPress函數(shù)，實(shí)現(xiàn)了對 nonce 訪問的額外檢查。

在 Elementor 中提交解決安全漏洞

普遍認(rèn)為這一做法應(yīng)該能解決漏洞安全問題，但研究人員尚未驗(yàn)證修復(fù)方法有用，而且 Elementor 團(tuán)隊(duì)也沒有公布任何關(guān)于這個(gè)補(bǔ)丁的細(xì)節(jié)。

目前，BleepingComputer 已經(jīng)聯(lián)系了 Elementor 的安全團(tuán)隊(duì)，以期獲得更多的細(xì)節(jié)，但是尚未收到回復(fù)。

最后，建議管理員應(yīng)用 Elementor WordPress 插件的最新可用更新，或從網(wǎng)站上完全刪除該插件。

參考文章：https://www.bleepingcomputer.com/news/security/critical-flaw-in-elementor-wordpress-plugin-may-affect-500k-sites/