最近未更新的Elementor用戶(hù)將希望盡快獲得最新版本3.1.4。Wordfence的研究人員于2月向其作者披露了該插件中存儲(chǔ)的一組跨站點(diǎn)腳本（XSS）漏洞，該漏洞在當(dāng)時(shí)進(jìn)行了部分修補(bǔ)，并在3月的第二周發(fā)布了其他修復(fù)程序。

Wordfence在昨天發(fā)布的帖子中總結(jié)了這些漏洞，并詳細(xì)介紹了攻擊者如何使用Elementor危害網(wǎng)站的過(guò)程：

這些漏洞使任何能夠訪問(wèn)Elementor編輯器的用戶(hù)（包括貢獻(xiàn)者）都可以將JavaScript添加到帖子中。如果該帖子被任何其他站點(diǎn)用戶(hù)查看，編輯或預(yù)覽，則將執(zhí)行此JavaScript；如果受害者是管理員，則可用于接管該站點(diǎn)。

插件的許多“元素”或組件都接受一個(gè)html_tag 參數(shù)，該參數(shù)輸出時(shí)不會(huì)轉(zhuǎn)義，可以將其設(shè)置為執(zhí)行腳本。一些易受攻擊的元素包括列，手風(fēng)琴，標(biāo)題，分隔線，圖標(biāo)框和圖像框。

發(fā)布時(shí)，只有不到一半的Elementor安裝在3.1.x版上運(yùn)行，從而使數(shù)百萬(wàn)個(gè)站點(diǎn)仍然容易受到攻擊。Wordfence今天早上證實(shí)，他們目前尚未看到針對(duì)這些漏洞的主動(dòng)攻擊。

Wordfence安全研究員Ram Gall說(shuō)：“由于所需的特權(quán)，我們希望它主要用于有針對(duì)性的攻擊，而不是廣泛的嘗試。” “也就是說(shuō)，一旦攻擊者能夠進(jìn)入大門(mén)，它就可能被用于特權(quán)升級(jí)，而不是完整的從頭到尾的利用鏈。對(duì)于擁有許多貢獻(xiàn)者或作者用戶(hù)的網(wǎng)站，這將是一個(gè)更大的問(wèn)題，因?yàn)檫@意味著更廣泛的攻擊面。引起關(guān)注的主要原因是安裝數(shù)量龐大?！?/p>

發(fā)現(xiàn)漏洞的加爾（Gall）描述了最容易利用它們的情況。該站點(diǎn)上的貢獻(xiàn)者重復(fù)使用了發(fā)生數(shù)據(jù)泄露的密碼。攻擊者找到該密碼，登錄并添加帶有惡意代碼的帖子。管理員可以在管理員中查看來(lái)自貢獻(xiàn)者的帖子。訪問(wèn)該帖子將在瀏覽器中運(yùn)行惡意JavaScript，Gall表示可能會(huì)使用新的惡意管理員帳戶(hù)或代碼來(lái)感染該網(wǎng)站，以接管該網(wǎng)站。

除了在變更日志中簡(jiǎn)短提及之外，Elementor并未向用戶(hù)警告產(chǎn)品博客或社交媒體帳戶(hù)上的安全問(wèn)題：

• 修復(fù)：強(qiáng)化了編輯器中允許的選項(xiàng)，以實(shí)施更好的安全策略
• 修復(fù)：html 燈箱模塊中的選項(xiàng)已刪除 ，以防止安全問(wèn)題

Wordfence代表Kathy Zant說(shuō)：“ Elementor最初反應(yīng)非常好，盡管在初次報(bào)告發(fā)布后他們沒(méi)有讓我們了解補(bǔ)丁程序?！?nbsp;“他們確實(shí)在他們的站點(diǎn)上列出了安全聯(lián)系人，這總是有幫助的。通常，安全研究人員很難確定并聯(lián)系合適的人以與他們分享漏洞概念證明，因此，我們總是很感激能夠輕松啟動(dòng)這些討論。”

最新版本3.1.4包含針對(duì)這些漏洞的修補(bǔ)程序，以及針對(duì)插件中其他較不嚴(yán)重的錯(cuò)誤的修復(fù)程序。建議Elementor用戶(hù)盡快進(jìn)行更新，以避免將這些漏洞用于網(wǎng)站接管。