WordPress Elementor网站生成器插件中报告的关键RCE缺陷

Elementor是一个WordPress网站生成器插件，有超过500万个活动安装，被发现容易受到经过验证的远程代码执行漏洞的攻击，该漏洞可能被滥用以接管受影响的网站。

上周披露该漏洞的插件漏洞表示，该漏洞是在2022年3月22日发布的3.6.0版本中引入的。大约37%的插件用户使用的是3.6版。

研究人员说：“这意味着攻击者提供的恶意代码可以由网站运行”。“在此情况下，该漏洞可能会被未登录WordPress的人利用，但任何登录WordPress并有权访问WordPress管理仪表板的人都可以轻松利用”。

简而言之，这个问题与将任意文件上载到受影响网站的情况有关，可能导致代码执行。

该漏洞已在最新版本的Elementor中得到解决，Patchstack指出，“该漏洞可允许任何经过身份验证的用户，无论其授权如何，更改站点标题、站点徽标、将主题更改为Elementor的主题，最糟糕的是，将任意文件上载到站点”。

两个多月前，Elementor的基本插件被发现包含一个严重漏洞，可能导致在受损网站上执行任意代码。