WordPress Elementor Pro 漏洞警报
重点信息
- WordPress Elementor Pro 插件中存在高严重性漏洞,影响版本 3.11.6 及更早版本。
- 漏洞允许攻击者接管启用了 WooCommerce 的 WordPress 网站。
- 攻击者可以重新启用注册页面,设置管理员权限,并上传恶意插件。
- 安全更新已在 3.11.7 和 3.12.0 版本中发布,强烈建议用户升级。
根据 的报道,WordPress 网站构建插件 Elementor Pro中的一项高严重性漏洞仍在被不明身份的攻击者利用。该漏洞影响 3.11.6 及更早版本,被描述为破损的访问控制漏洞。当成功利用此漏洞后,攻击者可以接管启用了
的 WordPress 网站。
根据 Patchstack的通知,恶意用户能够重新启用被禁用的注册页面,设置默认用户角色为管理员,并创建拥有管理员权限的账户。“随后,他们可能会将网站重定向到另一个恶意域名,或者上传恶意插件或后门以进一步利用该网站。”Patchstack还表示,目前这一漏洞正被以不同 IP 地址的用户利用,其目标是上传任意的 PHP 和 ZIP 压缩文件。
这一漏洞已经在 3.11.7 补丁中得到修复,Elementor Pro 插件用户被强烈建议升级到该版本或最新的 3.12.0 补丁,以确保其网站的安全。
版本 | 漏洞状态 | 推荐措施
—|—|—
3.11.6及以下 | 存在漏洞 | 升级到 3.11.7 或 3.12.0
3.11.7 | 漏洞修复 | 建议更新
3.12.0 | 定义修复版 | 请确保使用此版本
请务必注意,保护您的网站安全至关重要,及时更新插件并采取必要的安全措施是防止潜在攻击的重要步骤。