Elementor的WordPress插件中发现了超过100万个安装错误

一个安装量超过100万次的WordPress插件被发现包含一个严重的漏洞，可能导致在受损网站上执行任意代码。

所讨论的插件是Elementor的基本插件，Elementor为WordPress网站所有者提供了一个包含80多个元素和扩展的库，以帮助设计和定制页面和帖子。

Patchstack在一份报告中说：“该漏洞允许任何用户，无论其身份验证或授权状态如何，都可以执行本地文件包含攻击。”。“此攻击可用于包括网站文件系统上的本地文件，如/etc/passwd。也可用于通过包括包含通常无法执行的恶意PHP代码的文件来执行RCE。”

也就是说，只有在使用dynamic gallery和product gallery等小部件时，漏洞才会存在，这些小部件利用了易受攻击的功能，导致本地文件包含–；一种攻击技术，其中web应用程序被诱骗在web服务器上公开或运行任意文件。

该漏洞影响了5.0.4及以下版本的所有插件，研究人员Wai Yan Myo Thet发现了该漏洞。在负责任的披露之后，“在几个不足的补丁之后”，1月28日发布的5.0.5版本终于堵塞了安全漏洞

几周前，有消息称，身份不明的参与者篡改了一个开发者网站上的数十个WordPress主题和插件，以注入后门，目的是感染更多的网站。