一个流行的 WordPress 插件的开发者已经更新了他的产品来修复一个关键的漏洞,这个漏洞可能被用来改变网站的外观。
Elementor 作为 WordPress 的一个领先的网站建设平台进行营销,使超过500万用户能够轻松地为自己或他们的业务创建网站,而无需编写任何代码。
然而,上周安全公司 Plugin vulnerability 的研究人员发现了与该插件有关的可疑活动。
该公司解释说: “我们找不到任何近期披露的漏洞可以解释这一点,所以我们开始进行标准检查,以防黑客利用插件中一个无法修复的漏洞。”。
“我们马上发现,插件没有处理基本的安全权利,因为我们发现许多功能缺少功能检查,而这些功能不应该缺少。虽然有些用户无法访问,但我们发现至少有一个可以访问,而且可访问的功能导致了最严重的漏洞类型之一——远程代码执行(RCE)。”
原来这个 bug 是在3月22日发布的3.6.0版本中引入的,这意味着大约有150万用户受到了影响。
插件漏洞警告说: 这个漏洞可以被通过身份验证的攻击者利用,他们可以访问 WordPress 的管理仪表板,但是也有可能被没有登录的威胁者利用。
它似乎使攻击者可以通过改变元素,包括名称、徽标、图像和主题,完全改变目标网站的外观。
幸运的是,Elementor 现在已经发布了3.6.3版本来解决这个问题,用户应该下载这个版本。插件漏洞公布了一个概念验证,使修补更加紧迫。
K2网络安全首席执行官 Pravin Madhani 说,运行 WordPress 网站的组织必须提高安全性。
“ WordPress 驱动了互联网上三分之一的网站,包括一些流量最大的网站和大量的电子商务网站,那么为什么它们不能更好地防御攻击呢?”他争辩道。
“为了获得最大程度的保护,使用 WordPress 的组织应该确保他们在深度上使用安全性,包括应用程序、网络和系统级别的安全性。最后,任何组织都可以做的最简单的事情,以帮助减少漏洞是保持他们的代码更新和修补。”