Close Menu
    Trending
    SEO

    Elementor WordPress 外掛程式受 6 個漏洞影響

    onlineadminBy 01 Min Read

    安全研究人員就 Elementor Website Builder 及其專業版中發現的六個獨特的 XSS 漏洞發出警告,這些漏洞可能允許攻擊者註入惡意腳本。

    Elementor 網站建立者

    Elementor 是領先的網站建立平台,在全球擁有超過 500 萬活躍安裝量,官方 WordPress 儲存庫聲稱為全球超過 1,600 萬個網站提供支援。 拖放介面允許任何人快速創建專業網站,而專業版則透過額外的小部件和高級電子商務功能擴展了平台。

    這種受歡迎程度也使 Elementor 成為駭客的熱門目標,這使得這六個漏洞尤其令人擔憂。

    六個 XSS 漏洞

    Elementor Website Builder 和 Pro 版本包含六個不同的跨站點腳本 (XSS) 漏洞。 其中 5 個漏洞是由於入口消毒不足造成的,1 個漏洞是由於出口消毒不足造成的,而 1 個漏洞是由於入口消毒不足造成的。

    輸入清理是一種標準編碼實踐,用於保護允許使用者將資料輸入表單欄位或上傳媒體的插件區域。 清理過程會阻止任何不符合預期的輸入。 適當安全的文字資料輸入應該可以阻止腳本或 HTML,這就是輸入清理的作用。

    輸出轉義是保護插件發送到瀏覽器的內容的過程,以防止其將網站訪客的瀏覽器暴露給不受信任的腳本。

    官方 WordPress 開發人員手冊建議進行入站清理:

    “輸入清理是保護/清理/過濾輸入資料的過程。”

    值得注意的是,這六個漏洞是不同的,並且彼此完全無關,並且具體是由於 Elementor 端的安全性不足而引起的。 其中之一 CVE-2024-2120 可能會影響免費版和專業版。 我聯繫了 Wordfence 尋求澄清,並將在收到回覆後相應更新本文。

    六個 Elementor 漏洞列表

    以下是六個漏洞及其影響的版本的清單。 所有六個漏洞均被歸類為中等安全威脅。 清單中的前兩個適用於 Elementor Website Builder,接下來的四個適用於 Pro 版本。 CVE 編號是對官方常見漏洞和漏洞資料庫條目的引用,該資料庫條目可用作已知漏洞的參考。

    1. Elementor 網站產生器 (CVE-2024-2117)
      影響 3.20.2 及以下版本:透過路由小部件進行身份驗證的基於 DOM 的儲存交叉字串序列
    2. Elementor Website Builder Pro(可能免費)(CVE-2024-2120)
      影響 3.20.1 及以下版本:透過後退導航驗證儲存的跨站點序列
    3. Elementor 網站產生器專業版 (CVE-2024-1521)
      影響 3.20.1 及以下版本:透過上傳表單小工具 SVGZ 檔案來驗證儲存的跨站點腳本
      此漏洞僅影響執行基於 NGINX 的伺服器的伺服器。 執行 Apache HTTP Server 的伺服器不受影響。
    4. Elementor 網站產生器專業版 (CVE-2024-2121)
      影響 3.20.1 及以下版本:使用媒體輪播小工具驗證的儲存的跨站點排序器
    5. Elementor 網站產生器專業版 (CVE-2024-1364)
      影響 3.20.1 及以下版本:使用自訂小工具 ID 進行身份驗證的儲存體的跨站點腳本
    6. Elementor 網站產生器專業版 (CVE-2024-2781)
      影響 3.20.1 及以下版本:透過 video_html_tag 進行身份驗證的基於 DOM 的儲存交叉腳本

    所有六個漏洞均被歸類為中等安全威脅,需要貢獻者等級的權限才能運作。

    Elementor 網站產生器變更日誌

    根據 Wordfence 的說法,有兩個漏洞影響免費版 Elementor。 但變更日誌顯示只有一種解決方案。

    影響免費版本的問題位於「路徑小工具」和「後導航小工具」。

    但免費版本的變更日誌僅包含文字路徑小工具的補丁,而不是包含後導航的補丁:

    “安全修復:改進了文字路徑小部件中程式碼安全性的實施”

    貼文導航小工具是一種導航功能,可讓網站訪客導航到一系列貼文中的上一篇或下一篇文章。

    因此,即使它在變更日誌中遺失,它也包含在 Elementor Pro 變更日誌中,表明它在此版本中已修復:

    • 「安全修復:改進了媒體輪播小部件中的程式碼安全實施
    • 安全性修復:改進了表單小工具中程式碼安全性的實施
    • 安全性修復:改進了後導航小部件中程式碼安全的實施
    • 安全性修復:改進了 Gallery 小部件中程式碼安全性的實施
    • 安全性修復:在視頻播放列表小部件中實施了改進的代碼安全性”

    免費變更日誌中缺少的條目可能是 Wordfence 印刷錯誤,因為 CVE-2024-2120 的官方 Wordfence 通知將「軟體 slug」條目顯示為 elementor-pro。

    推薦的行動方案

    建議 Elementor Website Builder 兩個版本的使用者將其插件更新到最新版本。 儘管執行漏洞需要攻擊者取得貢獻者等級的權限憑證,但它仍然在可能的範圍內,特別是在貢獻者沒有強密碼的情況下。

    閱讀 Wordfence 官方聲明:

    Elementor Website Builder:不只是頁面產生器 <= 3.20.2:透過路徑小元件驗證基於 DOM 的儲存跨站點腳本 (Contributor+) CVE-2024-2117

    Elementor Website Builder:不僅僅是頁面建立器 <= 3.20.1:透過後退導航驗證儲存的網站腳本 (Contributor+) CVE-2024-2120

    Elementor Website Builder Pro <= 3.20.1:透過 SVGZ 檔案上傳表單小工具驗證儲存的跨站點腳本 (Contributor+) CVE-2024-1521

    Elementor Website Builder Pro <= 3.20.1:經過驗證的 (Contributor+) 儲存的跨站點腳本 CVE-2024-2121

    Elementor Website Builder Pro <= 3.20.1:使用小元件自訂 ID 驗證儲存的跨網站腳本 (Contributor+) CVE-2024-1364

    Elementor Website Builder Pro <= 3.20.1:使用 video_html_tag 進行驗證的基於 DOM 的跨站點腳本 (Contributor+) CVE-2024-2781

    精選圖片由 Shutterstock/hugolacasse 提供

    Source link

    Share.

    Related Posts

    Add A Comment
    Leave A Reply