Elementor的基本要附件修补了严重的安全漏洞

Elementor的基本插件，一个具有超过一百万个活动安装的流行插件，修补了一个关键的漏洞，允许本地文件包含攻击.

安全研究员围堰Myo特征发现了漏洞，并于2022年1月25日报告给PatchStack.ClateStack客户在同一天收到了虚拟补丁.该问题已知在Plugin的开发人员WPDeveloper中已知，在第5.0.5版最终修复之前发出两个不足的补丁.

patchstack发布了漏洞的摘要，并解释了使用插件的WordPress站点如何受到影响:

此漏洞允许任何用户，无论其认证或授权状态如何，都执行本地文件包含攻击.此攻击可用于在网站文件系统上包含本地文件，例如/etc/passwd.这也可用于通过包括具有通常无法执行的恶意PHP代码的文件来执行RCE.

很重要的是要注意，该漏洞主要影响具有使用动态库和产品库小部件的用户.

插件的更新使得更新似乎更像是增强比严重的安全问题，因此用户可能无法完全了解他们需要更新:

5.0.5 - 2010/01/2022 > 5.0.4 - 27/01/2022
改进:安全增强的消毒模板文件路径

被触发
很少的小错误修复和改进

早于5.0.5的所有版本都被视为易受攻击.WordPress.org Stats不会根据次要版本分解活动安装，但大约54％的插件用户正在运行超过5.0的版本.

虽然这似乎是超过一半的用户仍然易受攻击，但它们也需要使用有问题的特定小部件.如果您不确定组合使用这些小部件，最好只需尽快更新.