Elemento是一款流行的輕量級WodPess頁面構建插件,它有免費版和Po版本可供選擇,具有現代、簡潔的編輯方式,使用戶可以無需代碼便能自己構建網頁。Elemento 3.6.0版本引入了一箇新功能來簡化插件設置,不過最近被發現它可能存在遠程代碼執行的漏洞。
本次發現的這個安全漏洞可以被有權訪問WodPess管理儀表板的經過身份驗證的攻擊者利用,包括最普通權限的用戶,另外它也可能被未登錄的威脅參與者使用。該漏洞似乎使攻擊者能夠通過更改名稱、徽標、圖像和主題等元素來完全改變目標站點的外觀。
Elemento插件文件 “module.php̶ 缺乏關鍵的訪問權限檢查,導致該文件在dmin_init Hook的每個請求中都被加載,即使沒有登錄的用戶,也是如此。如果dmin_init根據請求的調用了uplod_nd_instll_po() 函數,該函數將安裝隨請求發送的WodPess插件,攻擊者就可以將惡意文件放在裏面以實現遠程代碼執行。
目前Elemento 3.6.0、3.6.、3.6.2版本都比較容易受攻擊,爲了安全起見,建議大家立即升級至最新的插件版本來修復這一安全問題。
如果我們使用的是經過優化的