成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

Elementor WordPress 插件存在漏洞,可能影響 50 萬個站點

安全 漏洞
悉,盡管利用該漏洞時需要身份驗證,但任何登錄到有漏洞網站的用戶都可以利用它,包括普通用戶。另外,安全研究人員認為,未登錄的用戶也可以利用該漏洞,但是尚未證實這種情況。

Bleeping Computer 網站披露,WordPress Elementor 頁面構建插件運營者發布 3.6.3 版本,以解決一個遠程代碼執行漏洞,該漏洞可能影響多達 50 萬個網站。

據悉,盡管利用該漏洞時需要身份驗證,但任何登錄到有漏洞網站的用戶都可以利用它,包括普通用戶。另外,安全研究人員認為,未登錄的用戶也可以利用該漏洞,但是尚未證實這種情況。

攻擊者在存在漏洞的網站上創建一個正常賬戶,可以改變受影響網站的名稱和主題,使其看起來完全不同。

漏洞細節

本周,WordPress 安全服務機構 Plugin Vulnerabilities 的研究人員發布報告,描述了 Elementor 漏洞問題背后的技術細節。研究人員解釋稱,問題在于該插件的一個文件 "module.php "缺乏關鍵的訪問檢查,導致該文件在 admin_init 操作期間的每個請求中都被加載,即使沒有登錄的用戶,也是如此。

另外,研究人員發現發現 RCE 漏洞可能涉及函數 upload_and_install_pro(),該函數將安裝隨請求發送的 WordPress 插件,這時, admin_init 允許以 WordPress 插件的形式上傳文件, 威脅者可以將惡意文件放在里面以實現遠程代碼執行。

文件上傳功能

激活注入的惡意插件

研究人員表示,唯一的限制是訪問一個有效的 nonce,然而,他們發現相關的 nonce 存在于 "WordPress管理頁面的源代碼中,該代碼以 'elementorCommonConfig' 開頭,當用戶登錄時,該代碼會被包含在內。"

影響和修復

根據 Plugin Vulnerabilities 的說法,該漏洞是由 2022 年 3 月 22 日發布的 Elementor 3.6.0 版本引入的。

WordPress 的統計報告顯示,大約 30.7% 的 Elementor 用戶已經升級到 3.6.x 版本,數據表明可能受影響網站的最大數量約為 150 萬個,另外,3.6.3 版本的插件至今下載量略高于一百萬次,那么還有大約 50 萬個有漏洞的網站。

最新的 3.6.3 版本包括一個提交功能,使用 "current_user_can "WordPress函數,實現了對 nonce 訪問的額外檢查。

在 Elementor 中提交解決安全漏洞

普遍認為這一做法應該能解決漏洞安全問題,但研究人員尚未驗證修復方法有用,而且 Elementor 團隊也沒有公布任何關于這個補丁的細節。

目前,BleepingComputer 已經聯系了 Elementor 的安全團隊,以期獲得更多的細節,但是尚未收到回復。

最后,建議管理員應用 Elementor WordPress 插件的最新可用更新,或從網站上完全刪除該插件。

參考文章:https://www.bleepingcomputer.com/news/security/critical-flaw-in-elementor-wordpress-plugin-may-affect-500k-sites/

責任編輯:趙寧寧 來源: FreeBuf.COM
相關推薦

2022-02-22 10:40:27

漏洞網絡攻擊

2017-03-09 20:57:26

2023-05-08 19:28:11

2022-02-12 16:30:02

WordPress安全漏洞插件

2014-07-22 10:43:16

2024-02-28 18:19:35

2023-06-01 15:30:21

2015-02-26 13:57:55

2021-04-08 09:31:45

FacebookFacebook fo漏洞

2016-12-26 16:21:11

2023-04-04 22:20:53

2022-09-14 09:20:47

漏洞網絡攻擊

2022-01-19 11:09:35

漏洞網絡安全網絡攻擊

2015-03-13 09:20:57

2025-02-21 08:10:00

漏洞網絡安全網絡攻擊

2023-08-31 19:11:07

2025-03-26 07:10:00

Oracle云計算漏洞

2024-05-08 16:32:35

2025-05-19 10:09:00

2014-07-28 09:33:26

點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 91亚洲精 | 一区二区三区在线免费 | 日韩一区二区三区在线观看视频 | 国产aⅴ爽av久久久久久久 | 国产精品一区二区av | 成人字幕网zmw | h视频免费在线观看 | 亚洲一区二区免费视频 | 国产成人精品999在线观看 | 国产福利资源 | 成av在线 | 久热国产精品视频 | 免费视频久久 | 久久亚洲美女 | 成人国产精品色哟哟 | 亚洲视频中文字幕 | 在线婷婷 | 波多野结衣电影一区 | 午夜影院在线观看版 | 最新日韩在线视频 | 福利社午夜影院 | 99精品视频在线观看免费播放 | 91免费小视频 | 久久国产传媒 | 亚洲一区二区在线免费观看 | 久久久久精 | 成人网址在线观看 | 中文字幕二区 | 视频一区在线观看 | 日韩一区中文字幕 | 成人在线免费观看视频 | 国产在线精品一区二区 | 成人三级视频 | 国产精品爱久久久久久久 | 亚洲精选一区二区 | 午夜视频在线免费观看 | 亚洲伊人久久综合 | 国产精品视频偷伦精品视频 | 成人亚洲精品久久久久软件 | 性生生活大片免费看视频 | 一级看片免费视频 |