Elementor 插件爆出 6 个安全漏洞,请尽快更新

安全研究人员针对 Elementor Website Builder 及其专业版中发现的六个独特 XSS 漏洞发布了公告,这些漏洞可能允许攻击者注入恶意脚本。

Elementor 网站构建器

Elementor 是领先的网站构建平台,在全球拥有超过 500 万活跃安装量,官方 WordPress 存储库声称它为全球超过 1600 万个网站提供支持。拖放界面允许任何人快速创建专业网站,而专业版则通过额外的小工具和高级电子商务功能扩展了平台。

这种受欢迎程度也使 Elementor 成为黑客的热门目标,这使得这六个漏洞特别令人关注。

六个 XSS 漏洞

Elementor Website Builder 和 Pro 版本包含六个不同的跨站点脚本 (XSS) 漏洞。其中五个漏洞是由于输入清理和输出转义不足造成的,而其中一个漏洞是由于输入清理不足造成的。

输入清理是一种标准编码实践,用于保护插件区域的安全,允许用户将数据输入表单字段或上传媒体。清理过程会阻止任何不符合预期的输入。正确保护文本数据的输入应该阻止脚本或 HTML,这就是输入清理的作用。

输出转义是保护插件输出到浏览器的内容的过程,以防止站点访问者的浏览器暴露于不受信任的脚本。

官方 WordPress 开发人员手册建议进行输入清理

“清理输入是保护/清理/过滤输入数据的过程。”

值得注意的是,所有六个漏洞都是不同的,并且彼此完全无关,并且具体是由于 Elementor 方面的安全性不足而引起的。其中之一 CVE-2024-2120 可能会同时影响免费版和专业版。我联系了 Wordfence 寻求澄清,并将在收到回复后相应地更新本文。

六个 Elementor 漏洞列表

以下是六个漏洞及其影响的版本的列表。所有六个漏洞均被评为中等安全威胁。列表中的前两个影响 Elementor Website Builder,接下来的四个影响 Pro 版本。 CVE 编号是对通用漏洞和暴露数据库中官方条目的引用,该数据库可作为已知漏洞的参考。

  1. Elementor Website Builder (CVE-2024-2117)
    影响 3.20.2 及以下版本 – 通过路径小工具进行经过身份验证的基于 DOM 的存储跨站点脚本
  2. Elementor Website Builder Pro(可能免费)(CVE-2024-2120)
    影响 3.20.1 及以下版本 – 通过文章导航进行身份验证的存储跨站点脚本
  3. Elementor Website Builder Pro (CVE-2024-1521)
    影响 3.20.1 及以下版本 – 通过表单小工具 SVGZ 文件上传进行身份验证的存储跨站点脚本
    此漏洞仅影响运行基于 NGINX 的服务器的服务器。运行 Apache HTTP Server 的服务器不受影响。
  4. Elementor Website Builder Pro (CVE-2024-2121)
    影响 3.20.1 及以下版本 – 通过媒体轮播小工具进行身份验证的存储跨站点脚本
  5. Elementor Website Builder Pro (CVE-2024-1364)
    影响 3.20.1 及以下版本 – 通过小工具的 custom_id 进行身份验证的存储跨站点脚本
  6. Elementor Website Builder Pro (CVE-2024-2781)
    影响 3.20.1 及以下版本 – 通过 video_html_tag 进行经过身份验证的基于 DOM 的存储跨站点脚本

所有六个漏洞均被评为中级安全威胁,需要贡献者级别的权限级别才能执行。

Elementor 网站生成器变更日志

根据 Wordfence 的说法,有两个漏洞影响免费版本的 Elementor。但变更日志显示只有一个修复。

影响免费版本的问题位于“路径小工具”和“文章导航小工具”中。

免费版本的变更日志仅列出了文本路径小工具的补丁,而不列出了文章导航的补丁:

“安全修复:改进了文本路径小工具中的代码安全实施”

文章导航小工具是一种导航功能,允许网站访问者导航到一系列帖子中的上一篇或下一篇文章。

因此,尽管它在变更日志中丢失,但它包含在Elementor Pro 变更日志中,这表明它已在该版本中修复:

  • “安全修复:改进了媒体轮播小工具中的代码安全执行
  • 安全修复:改进了表单小工具中的代码安全执行
  • 安全修复:改进了“文章导航”小工具中的代码安全实施
  • 安全修复:改进了图库小工具中的代码安全实施
  • 安全修复:改进了视频播放列表小工具中的代码安全实施”

免费变更日志中缺少的条目可能是 Wordfence 的印刷错误,因为 CVE-2024-2120 的官方 Wordfence 公告将“软件 slug”条目显示为 elementor-pro。

推荐的行动方案

我们鼓励 Elementor Website Builder 两个版本的用户将其插件更新到最新版本。尽管执行该漏洞需要攻击者获取贡献者级别的权限凭据,但它仍然存在可能性,特别是在贡献者没有强密码的情况下。

欢迎关注WordPress大学公众号 WPDAXUE
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索