最近未更新的Elementor用戶將希望盡快獲得最新版本3.1.4。Wordfence的研究人員于2月向其作者披露了該插件中存儲的一組跨站點腳本（XSS）漏洞，該漏洞在當時進行了部分修補，并在3月的第二周發(fā)布了其他修復程序。

Wordfence在昨天發(fā)布的帖子中總結了這些漏洞，并詳細介紹了攻擊者如何使用Elementor危害網(wǎng)站的過程：

這些漏洞使任何能夠訪問Elementor編輯器的用戶（包括貢獻者）都可以將JavaScript添加到帖子中。如果該帖子被任何其他站點用戶查看，編輯或預覽，則將執(zhí)行此JavaScript；如果受害者是管理員，則可用于接管該站點。

插件的許多“元素”或組件都接受一個html_tag 參數(shù)，該參數(shù)輸出時不會轉(zhuǎn)義，可以將其設置為執(zhí)行腳本。一些易受攻擊的元素包括列，手風琴，標題，分隔線，圖標框和圖像框。

發(fā)布時，只有不到一半的Elementor安裝在3.1.x版上運行，從而使數(shù)百萬個站點仍然容易受到攻擊。Wordfence今天早上證實，他們目前尚未看到針對這些漏洞的主動攻擊。

Wordfence安全研究員Ram Gall說：“由于所需的特權，我們希望它主要用于有針對性的攻擊，而不是廣泛的嘗試?！?nbsp;“也就是說，一旦攻擊者能夠進入大門，它就可能被用于特權升級，而不是完整的從頭到尾的利用鏈。對于擁有許多貢獻者或作者用戶的網(wǎng)站，這將是一個更大的問題，因為這意味著更廣泛的攻擊面。引起關注的主要原因是安裝數(shù)量龐大?！?/p>

發(fā)現(xiàn)漏洞的加爾（Gall）描述了最容易利用它們的情況。該站點上的貢獻者重復使用了發(fā)生數(shù)據(jù)泄露的密碼。攻擊者找到該密碼，登錄并添加帶有惡意代碼的帖子。管理員可以在管理員中查看來自貢獻者的帖子。訪問該帖子將在瀏覽器中運行惡意JavaScript，Gall表示可能會使用新的惡意管理員帳戶或代碼來感染該網(wǎng)站，以接管該網(wǎng)站。

除了在變更日志中簡短提及之外，Elementor并未向用戶警告產(chǎn)品博客或社交媒體帳戶上的安全問題：

• 修復：強化了編輯器中允許的選項，以實施更好的安全策略
• 修復：html 燈箱模塊中的選項已刪除 ，以防止安全問題

Wordfence代表Kathy Zant說：“ Elementor最初反應非常好，盡管在初次報告發(fā)布后他們沒有讓我們了解補丁程序?！?nbsp;“他們確實在他們的站點上列出了安全聯(lián)系人，這總是有幫助的。通常，安全研究人員很難確定并聯(lián)系合適的人以與他們分享漏洞概念證明，因此，我們總是很感激能夠輕松啟動這些討論?！?/p>

最新版本3.1.4包含針對這些漏洞的修補程序，以及針對插件中其他較不嚴重的錯誤的修復程序。建議Elementor用戶盡快進行更新，以避免將這些漏洞用于網(wǎng)站接管。