欢迎user
新华三盾山实验室
2023/04/03
Elementor Pro是一款WordPress页面构建器插件,允许用户轻松构建专业外观的网站而无需了解编码知识,具有拖放、主题构建、模板集合、自定义小部件支持以及面向在线商店的WooCommerce构建器等功能。近日,新华三盾山实验室监测到WordPress官方发布了安全公告,修复了一个存在于WordPress Elementor Pro插件中的访问控制漏洞,攻击者利用该漏洞可更改站点设置,完全接管网站。
该漏洞由于WooCommerce 中“elementor-pro/modules/woocommerce/module.php”组件存在缺陷,经过身份验证的恶意攻击者通过启用注册 (users_can_register) 并将默认角色 (default_role) 设置为“administrator”来创建管理员账户,更改管理员电子邮件地址 (admin_email),或者将所有流量重定向到一个外部恶意网站通过更改 siteurl 以及许多其他可能性。
WordPress Elementor Pro插件 <= 3.11.6
威胁等级 | 高危 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 低 |
漏洞评分 | 8.8 |
1、大多数受攻击网站的攻击都来自以下三个IP地址,将它们添加到阻止列表/黑名单中:
193.169.194.63
193.169.195.64
194.135.30.6
2、对上传的文件进行严格检查及限制,上传到受感染网站的文件通常具有以下名称:
wp-resortpack.zip
wp-rate.php
lll.zip
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://elementor.com/pro/changelog/
https://blog.nintechnet.com/high-severity-vulnerability-fixed-in-wordpress-elementor-pro-plugin/