Bleeping Computer 網站披露，WordPress Elementor 頁面構建插件運營者發布 3.6.3 版本，以解決一個遠程代碼執行漏洞，該漏洞可能影響多達 50 萬個網站。

據悉，盡管利用該漏洞時需要身份驗證，但任何登錄到有漏洞網站的用戶都可以利用它，包括普通用戶。另外，安全研究人員認為，未登錄的用戶也可以利用該漏洞，但是尚未證實這種情況。

攻擊者在存在漏洞的網站上創建一個正常賬戶，可以改變受影響網站的名稱和主題，使其看起來完全不同。

漏洞細節

本周，WordPress 安全服務機構 Plugin Vulnerabilities 的研究人員發布報告，描述了 Elementor 漏洞問題背后的技術細節。研究人員解釋稱，問題在于該插件的一個文件 "module.php "缺乏關鍵的訪問檢查，導致該文件在 admin_init 操作期間的每個請求中都被加載，即使沒有登錄的用戶，也是如此。

另外，研究人員發現發現 RCE 漏洞可能涉及函數 upload_and_install_pro()，該函數將安裝隨請求發送的 WordPress 插件，這時， admin_init 允許以 WordPress 插件的形式上傳文件， 威脅者可以將惡意文件放在里面以實現遠程代碼執行。

文件上傳功能

激活注入的惡意插件

研究人員表示，唯一的限制是訪問一個有效的 nonce，然而，他們發現相關的 nonce 存在于 "WordPress管理頁面的源代碼中，該代碼以 'elementorCommonConfig' 開頭，當用戶登錄時，該代碼會被包含在內。"

影響和修復

根據 Plugin Vulnerabilities 的說法，該漏洞是由 2022 年 3 月 22 日發布的 Elementor 3.6.0 版本引入的。

WordPress 的統計報告顯示，大約 30.7% 的 Elementor 用戶已經升級到 3.6.x 版本，數據表明可能受影響網站的最大數量約為 150 萬個，另外，3.6.3 版本的插件至今下載量略高于一百萬次，那么還有大約 50 萬個有漏洞的網站。

最新的 3.6.3 版本包括一個提交功能，使用 "current_user_can "WordPress函數，實現了對 nonce 訪問的額外檢查。

在 Elementor 中提交解決安全漏洞

普遍認為這一做法應該能解決漏洞安全問題，但研究人員尚未驗證修復方法有用，而且 Elementor 團隊也沒有公布任何關于這個補丁的細節。

目前，BleepingComputer 已經聯系了 Elementor 的安全團隊，以期獲得更多的細節，但是尚未收到回復。

最后，建議管理員應用 Elementor WordPress 插件的最新可用更新，或從網站上完全刪除該插件。

參考文章：https://www.bleepingcomputer.com/news/security/critical-flaw-in-elementor-wordpress-plugin-may-affect-500k-sites/