Elementor 和 Beaver 是在国外主题中非常流行的WordPress可视化编辑器插件,安装量分别在300万和40万以上。而今天我们要说的漏洞,并不涉及 Elementor 和 Beaver 本身,而是它们的扩展插件:
- Ultimate Addons for Elementor
- Ultimate Addons for Beaver Builder
这两个扩展插件都是为可视化编辑器添加更多小工具、模板等,以便用户可以更加方面地设计页面,由于它们的功能非常丰富,用户群体非常大,绝大多数使用 Elementor 和 Beaver 的用户一般都会安装使用。
安全研究人员已经在这两个广泛使用的扩展插件中发现了一个关键但易于利用的身份验证绕过漏洞,该漏洞可能使远程攻击者无需任何密码即可获得对站点的管理访问权限。
更令人担忧的是,攻击者已经在发现此漏洞后的两天内开始在大范围利用此漏洞,以破坏易受攻击的WordPress网站并安装恶意后门以供以后访问。 由网络安全服务MalCare的研究人员发现,该漏洞存在于两个插件都允许WordPress帐户持有者(包括管理员)通过Facebook和Google登录机制进行身份验证的方式。
根据该漏洞的通报,由于在用户通过Facebook或Google登录时缺少对身份验证方法的检查,因此容易受到攻击的插件欺骗,允许恶意用户像其他任何目标用户一样登录,而无需输入任何密码。
在发给《黑客新闻》的电子邮件中,WebARX确认攻击者在将dmp.zip文件上传到目标WordPress服务器上后,将伪造的wp-xmlrpc.php后门文件添加到网站根目录中,同时安装伪造的SEO统计插件。
“要利用此漏洞,黑客需要使用站点管理员用户的电子邮件ID。在大多数情况下,可以很容易地检索到这些信息。”
MalCare
MalCare于周三发现了此漏洞,该漏洞影响了以下列出的插件版本,并在同一天向开发人员报告了此漏洞,然后开发人员迅速解决了该问题,并在短短7个小时内发布了两个补丁版本。
- Ultimate Addons for Elementor <= 1.20.0
- Ultimate Addons for Beaver Builder <= 1.24.0
所以,如果您还在以上版本或更低版本的插件,请及时更新到 Ultimate Addons for Elementor 1.20.1 和 Ultimate Addons for Beaver Builder 1.24.1 版本以上。