Elementor 插件爆出 6 个安全漏洞，请尽快更新

安全研究人员针对 Elementor Website Builder 及其专业版中发现的六个独特 XSS 漏洞发布了公告，这些漏洞可能允许攻击者注入恶意脚本。

Elementor 网站构建器

Elementor 是领先的网站构建平台，在全球拥有超过 500 万活跃安装量，官方 WordPress 存储库声称它为全球超过 1600 万个网站提供支持。拖放界面允许任何人快速创建专业网站，而专业版则通过额外的小工具和高级电子商务功能扩展了平台。

这种受欢迎程度也使 Elementor 成为黑客的热门目标，这使得这六个漏洞特别令人关注。

Elementor Website Builder 和 Pro 版本包含六个不同的跨站点脚本 (XSS) 漏洞。其中五个漏洞是由于输入清理和输出转义不足造成的，而其中一个漏洞是由于输入清理不足造成的。

输入清理是一种标准编码实践，用于保护插件区域的安全，允许用户将数据输入表单字段或上传媒体。清理过程会阻止任何不符合预期的输入。正确保护文本数据的输入应该阻止脚本或 HTML，这就是输入清理的作用。

输出转义是保护插件输出到浏览器的内容的过程，以防止站点访问者的浏览器暴露于不受信任的脚本。

官方 WordPress 开发人员手册建议进行输入清理：

“清理输入是保护/清理/过滤输入数据的过程。”

值得注意的是，所有六个漏洞都是不同的，并且彼此完全无关，并且具体是由于 Elementor 方面的安全性不足而引起的。其中之一 CVE-2024-2120 可能会同时影响免费版和专业版。我联系了 Wordfence 寻求澄清，并将在收到回复后相应地更新本文。

以下是六个漏洞及其影响的版本的列表。所有六个漏洞均被评为中等安全威胁。列表中的前两个影响 Elementor Website Builder，接下来的四个影响 Pro 版本。 CVE 编号是对通用漏洞和暴露数据库中官方条目的引用，该数据库可作为已知漏洞的参考。

Elementor Website Builder (CVE-2024-2117)
影响 3.20.2 及以下版本 – 通过路径小工具进行经过身份验证的基于 DOM 的存储跨站点脚本
Elementor Website Builder Pro（可能免费）(CVE-2024-2120)
影响 3.20.1 及以下版本 – 通过文章导航进行身份验证的存储跨站点脚本
Elementor Website Builder Pro (CVE-2024-1521)
影响 3.20.1 及以下版本 – 通过表单小工具 SVGZ 文件上传进行身份验证的存储跨站点脚本
此漏洞仅影响运行基于 NGINX 的服务器的服务器。运行 Apache HTTP Server 的服务器不受影响。
Elementor Website Builder Pro (CVE-2024-2121)
影响 3.20.1 及以下版本 – 通过媒体轮播小工具进行身份验证的存储跨站点脚本
Elementor Website Builder Pro (CVE-2024-1364)
影响 3.20.1 及以下版本 – 通过小工具的 custom_id 进行身份验证的存储跨站点脚本
Elementor Website Builder Pro (CVE-2024-2781)
影响 3.20.1 及以下版本 – 通过 video_html_tag 进行经过身份验证的基于 DOM 的存储跨站点脚本

所有六个漏洞均被评为中级安全威胁，需要贡献者级别的权限级别才能执行。

根据 Wordfence 的说法，有两个漏洞影响免费版本的 Elementor。但变更日志显示只有一个修复。

影响免费版本的问题位于“路径小工具”和“文章导航小工具”中。

但免费版本的变更日志仅列出了文本路径小工具的补丁，而不列出了文章导航的补丁：

“安全修复：改进了文本路径小工具中的代码安全实施”

文章导航小工具是一种导航功能，允许网站访问者导航到一系列帖子中的上一篇或下一篇文章。

因此，尽管它在变更日志中丢失，但它包含在Elementor Pro 变更日志中，这表明它已在该版本中修复：

“安全修复：改进了媒体轮播小工具中的代码安全执行

安全修复：改进了表单小工具中的代码安全执行

安全修复：改进了“文章导航”小工具中的代码安全实施

安全修复：改进了图库小工具中的代码安全实施

安全修复：改进了视频播放列表小工具中的代码安全实施”

免费变更日志中缺少的条目可能是 Wordfence 的印刷错误，因为 CVE-2024-2120 的官方 Wordfence 公告将“软件 slug”条目显示为 elementor-pro。