Bleeping Computer 网站披露，WordPress Elementor 页面构建插件运营者发布 3.6.3 版本，以解决一个远程代码执行漏洞，该漏洞可能影响多达 50 万个网站。

据悉，尽管利用该漏洞时需要身份验证，但任何登录到有漏洞网站的用户都可以利用它，包括普通用户。另外，安全研究人员认为，未登录的用户也可以利用该漏洞，但是尚未证实这种情况。

攻击者在存在漏洞的网站上创建一个正常账户，可以改变受影响网站的名称和主题，使其看起来完全不同。

漏洞细节

本周，WordPress 安全服务机构 Plugin Vulnerabilities 的研究人员发布报告，描述了 Elementor 漏洞问题背后的技术细节。研究人员解释称，问题在于该插件的一个文件 "module.php "缺乏关键的访问检查，导致该文件在 admin_init 操作期间的每个请求中都被加载，即使没有登录的用户，也是如此。

另外，研究人员发现发现 RCE 漏洞可能涉及函数 upload_and_install_pro()，该函数将安装随请求发送的 WordPress 插件，这时， admin_init 允许以 WordPress 插件的形式上传文件， 威胁者可以将恶意文件放在里面以实现远程代码执行。

文件上传功能

激活注入的恶意插件

研究人员表示，唯一的限制是访问一个有效的 nonce，然而，他们发现相关的 nonce 存在于 "WordPress管理页面的源代码中，该代码以 'elementorCommonConfig' 开头，当用户登录时，该代码会被包含在内。"

影响和修复

根据 Plugin Vulnerabilities 的说法，该漏洞是由 2022 年 3 月 22 日发布的 Elementor 3.6.0 版本引入的。

WordPress 的统计报告显示，大约 30.7% 的 Elementor 用户已经升级到 3.6.x 版本，数据表明可能受影响网站的最大数量约为 150 万个，另外，3.6.3 版本的插件至今下载量略高于一百万次，那么还有大约 50 万个有漏洞的网站。

最新的 3.6.3 版本包括一个提交功能，使用 "current_user_can "WordPress函数，实现了对 nonce 访问的额外检查。

在 Elementor 中提交解决安全漏洞

普遍认为这一做法应该能解决漏洞安全问题，但研究人员尚未验证修复方法有用，而且 Elementor 团队也没有公布任何关于这个补丁的细节。

目前，BleepingComputer 已经联系了 Elementor 的安全团队，以期获得更多的细节，但是尚未收到回复。

最后，建议管理员应用 Elementor WordPress 插件的最新可用更新，或从网站上完全删除该插件。

参考文章：

https://www.bleepingcomputer.com/news/security/critical-flaw-in-elementor-wordpress-plugin-may-affect-500k-sites/