Elementor是一款流行的轻量级wordpress页面构建插件,它有免费版和Pro版本可供选择,具有现代、简洁的编辑方式,使用户可以无需代码便能自己构建网页。Elementor 3.6.0版本引入了一个新功能来简化插件设置,不过最近被发现它可能存在远程代码执行的漏洞。,,本次发现的这个安全漏洞可以被有权访问WordPress管理仪表板的经过身份验证的攻击者利用,包括最普通权限的用户,另外它也可能被未登录的威胁参与者使用。该漏洞似乎使攻击者能够通过更改名称、徽标、图像和主题等元素来完全改变目标站点的外观。,Elementor插件文件 “module.php” 缺乏关键的访问权限检查,导致该文件在admin_init Hook的每个请求中都被加载,即使没有登录的用户,也是如此。如果admin_init根据请求的调用了upload_and_install_pro() 函数,该函数将安装随请求发送的WordPress插件,攻击者就可以将恶意文件放在里面以实现远程代码执行。,目前Elementor 3.6.0、3.6.1、3.6.2版本都比较容易受攻击,为了安全起见,建议大家立即升级至最新的插件版本来修复这一安全问题。,如果我们使用的是经过优化的
WordPress主机托管网站,那么系统会提示更新Elementor插件版本以修复漏洞,以保证网站安全性。,(本文由主机测评zhuji.vsping.com原创,转载请注明出处“主机测评zhuji.vsping.com”和原文地址!)
WordPress插件Elementor出现安全漏洞 建议及时更新
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《WordPress插件Elementor出现安全漏洞 建议及时更新》
文章链接:https://zhuji.vsping.com/428010.html
本站资源仅供个人学习交流,请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。
文章名称:《WordPress插件Elementor出现安全漏洞 建议及时更新》
文章链接:https://zhuji.vsping.com/428010.html
本站资源仅供个人学习交流,请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。