Elementor的基本要附件修补了严重的安全漏洞

Elementor的基本插件,一个具有超过一百万个活动安装的流行插件,修补了一个关键的漏洞,允许本地文件包含攻击.

安全研究员围堰Myo特征发现了漏洞,并于2022年1月25日报告给PatchStack.ClateStack客户在同一天收到了虚拟补丁.该问题已知在Plugin的开发人员WPDeveloper中已知,在第5.0.5版最终修复之前发出两个不足的补丁.

patchstack发布了漏洞的摘要,并解释了使用插件的WordPress站点如何受到影响:

此漏洞允许任何用户,无论其认证或授权状态如何,都执行本地文件包含攻击.此攻击可用于在网站文件系统上包含本地文件,例如/etc/passwd.这也可用于通过包括具有通常无法执行的恶意PHP代码的文件来执行RCE.

很重要的是要注意,该漏洞主要影响具有使用动态库和产品库小部件的用户.

插件的更新使得更新似乎更像是增强比严重的安全问题,因此用户可能无法完全了解他们需要更新:

5.0.5 - 2010/01/2022 > 5.0.4 - 27/01/2022
改进:安全增强的消毒模板文件路径

被触发
很少的小错误修复和改进

早于5.0.5的所有版本都被视为易受攻击.WordPress.org Stats不会根据次要版本分解活动安装,但大约54%的插件用户正在运行超过5.0的版本.

虽然这似乎是超过一半的用户仍然易受攻击,但它们也需要使用有问题的特定小部件.如果您不确定组合使用这些小部件,最好只需尽快更新.

4
订阅评论
提醒
0 评论
内联反馈
查看所有评论