Elementor和Beaver插件中的漏洞会让任何人入侵WordPress网站

WordPress用户注意！

如果你正在使用“Beaver Builder的终极插件“或”Elementor的终极插件“而且最近还没有更新到最新的可用版本。

安全研究人员在这两个广泛使用的高级WordPress插件中发现了一个关键但易于利用的绕过身份验证漏洞，远程攻击者可以在不需要任何密码的情况下获得对站点的管理访问权限。

更令人担忧的是，机会主义攻击者在发现该漏洞后的2天内已经开始在野外利用该漏洞，以破坏易受攻击的WordPress网站，并安装恶意后门供以后访问。

软件开发公司Brainstorm Force开发的这两个易受攻击的插件目前正在使用Elementor和Beaver Builder框架为数十万个WordPress网站供电，帮助网站管理员和设计师通过更多的小部件、模块和页面模板扩展网站的功能。

网络安全服务MalCare的研究人员发现，该漏洞存在于两个插件让WordPress账户持有人（包括管理员）通过Facebook和谷歌登录机制进行身份验证的方式中。

图片来源：WebARX

根据该漏洞的建议，当用户通过Facebook或谷歌登录时，由于缺乏对身份验证方法的检查，易受攻击的插件可能会被欺骗，允许恶意用户以任何其他目标用户的身份登录，而不需要任何密码。

“然而，Facebook和谷歌的身份验证方法没有验证Facebook和谷歌返回的令牌，而且由于它们不需要密码，因此没有进行密码检查，”WebARX研究人员解释说，他们还分析了该漏洞，并确认了其被积极利用的情况。

MalCare说：“要利用该漏洞，黑客需要使用该网站管理员用户的电子邮件ID。在大多数情况下，这些信息可以相当容易地检索到”。

在发给《黑客新闻》的一封电子邮件中，WebARX证实，攻击者在上传tmp后滥用该漏洞安装了一个虚假的SEO统计插件。目标WordPress服务器上的zip文件，最终会删除一个wp xmlrpc。php后门文件到易受攻击站点的根目录。

MalCare在周三发现了这个影响以下插件版本的漏洞，并在同一天向开发人员报告，开发人员随后迅速解决了这个问题，并在7小时内发布了这两个插件的修补版本。

• Ultimate Addons for Elementor <= 1.20.0
• Ultimate Addons for Beaver Builder <= 1.24.0

已通过发布“Elementor 1.20.1版的终极插件”和“Beaver Builder 1.24.1版的终极插件”修补了绕过身份验证漏洞，强烈建议受影响的网站尽快安装。