wordfence报告说elementor pro具有关键零日漏洞利用。该漏洞于2020年5月7日刚刚得到修复。据报道,正在积极利用未修补的版本。
elementor刚刚发布了pro版本2.9.4,其中包含针对关键文件上传漏洞的修复程序
两个elementor插件易受攻击根据wordfence的说法,涉及两个插件,每个插件都有一个漏洞。
elementor pro是一个易受攻击的插件elementor pro是elementor wordpress页面构建器插件的付费版本。此漏洞不会影响elementor插件的免费版本。
根据wordfence,该漏洞被评为“严重”。
为了利用此漏洞,需要在网站上注册黑客。
如果您运行由elementor pro驱动的wordpress网站,并且允许网站访问者注册以便对网站进行评论或作出贡献,那么您可能会受到攻击。
但是,如果您的elementor pro wordpress网站没有注册用户,您可能仍然会面临风险。
您可能仍会处于危险之中的原因是因为另一个插件ultimateorons for elementor,即使禁止注册,也允许黑客注册为订户。
这意味着,用于elementor的ultimate addons插件允许黑客入侵elementor pro。
根据wordfence:
“由于目前未修复此漏洞,我们将排除任何进一步的信息。
我们通过另一家供应商获得的数据表明elementor团队正在开发补丁。我们已经与elementor联系,在发布之前没有立即收到对此的确认。”
极致漏洞的终极插件易受攻击的第二个插件是elementor的ultimate addons插件。如果关闭了用户注册,则该漏洞使黑客能够利用elementor pro漏洞。
目前,有一个新发布的补丁可修复elementor pro漏洞。将elementor pro更新到2.9.4版以进行保护。
还有一个补丁可以修复elementor的ultimate addons插件(此处说明)。
通过升级ultimate addons插件(如果已安装),从理论上讲,只要禁止用户注册,就可以阻止黑客利用elementor pro网站。
如何保护您的elementor pro网站wordfence建议将elementor pro更新到版本2.9.4。
elementor pro更新后,您将免受黑客攻击。