WordFence报告说Elementor Pro具有关键零日漏洞利用。该漏洞于2020年5月7日刚刚得到修复。据报道,正在积极利用未修补的版本。
Elementor刚刚发布了Pro版本2.9.4,其中包含针对关键文件上传漏洞的修复程序
网站建设
两个Elementor插件易受攻击
根据WordFence的说法,涉及两个插件,每个插件都有一个漏洞。
Elementor Pro是一个易受攻击的插件
Elementor Pro是Elementor WordPress页面构建器插件的付费版本。此漏洞不会影响Elementor插件的免费版本。
根据WordFence,该漏洞被评为“严重”。
为了利用此漏洞,需要在网站上注册黑客。
如果您运行由Elementor Pro驱动的WordPress网站,并且允许网站访问者注册以便对网站进行评论或作出贡献,那么您可能会受到攻击。
但是,如果您的Elementor Pro WordPress网站没有注册用户,您可能仍然会面临风险。
您可能仍会处于危险之中的原因是因为另一个插件Ultimateorons for Elementor,即使禁止注册,也允许黑客注册为订户。
这意味着,用于Elementor的Ultimate Addons插件允许黑客入侵Elementor Pro。
根据WordFence:
“由于目前未修复此漏洞,我们将排除任何进一步的信息。
我们通过另一家供应商获得的数据表明Elementor团队正在开发补丁。我们已经与Elementor联系,在发布之前没有立即收到对此的确认。”
极致漏洞的终极插件
易受攻击的第二个插件是Elementor的Ultimate Addons插件。如果关闭了用户注册,则该漏洞使黑客能够利用Elementor Pro漏洞。
目前,有一个新发布的补丁可修复Elementor Pro漏洞。将Elementor Pro更新到2.9.4版以进行保护。
还有一个补丁可以修复Elementor的Ultimate Addons插件(此处说明)。
通过升级Ultimate Addons插件(如果已安装),从理论上讲,只要禁止用户注册,就可以阻止黑客利用Elementor Pro网站。
如何保护您的Elementor Pro网站
WordFence建议将Elementor Pro更新到版本2.9.4。
Elementor Pro更新后,您将免受黑客攻击。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/260204.html