2021年3月8日,Wordfence威脅情報團隊意識到Elementor的The Plus Addons中存在”critical zero-day 零日漏洞或零時差漏洞”通常是指還沒有修補程式的安全漏洞。
該插件是一個高級付款插件,Wordfence估計有超過3萬個安裝量。3月8日早上,寄存公司Seravo向WPScan報告了這個漏洞。該漏洞使得攻擊者有可能在易受攻擊的網站上創建新的管理員賬戶,如果用戶註冊被啟用,同時以其他管理員身份登錄。
The Plus Addons for Elementor Lite,即同一開發商的免費版本,反而並沒有受到這個漏洞的影響。
Wordfence Premium客戶在2021年3月8日收到了一個規則,以防止主動利用這個漏洞。仍在使用免費版的Wordfence用戶將在2021年4月7日收到保護。
如果您正在使用The Plus Addons for Elementor插件,Wordfence強烈建議您完全停用並刪除該插件,直到該漏洞被修補。免費版本如能夠滿足您的需求,您可以暫時切換到該版本。如果您的網站功能依賴於此插件,我們建議完全刪除插件添加的任何註冊或登錄小工具,並禁用您網站上的註冊。在此發布之時,還沒有打過補丁的版本。
Description: Privilege Escalation
Affected Plugin: The Plus Addons for Elementor
Plugin Slug: theplus_elementor_addon
Affected Versions: <= 4.1.5
CVE ID: 2021-24175
CVSS Score: 9.8 (Critical)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Fully Patched Version: Currently unpatched.
“The Plus Addons for Elementor “是一個插件,旨在添加幾個額外的小部件供Elementor使用。其中一個小部件增加了向Elementor頁面添加用戶登錄和註冊表格的功能。不幸的是,這個功能配置不當,允許攻擊者作為管理員註冊,或作為現有的管理員登錄。
需要注意的是,即使你沒有使用該插件創建的活動登錄或註冊頁面,這個漏洞仍然可以被利用。這意味著,任何運行該插件的網站都容易被入侵。
目前,由於這是一個被積極利用的漏洞,Wordfence發布的細節非常少。我們可能會在未來決定發布更多的細節,但與此同時,我們建議你採取適當的措施來保護你的網站。
漏洞的指標
目前,Wordfence掌握的洩密跡象非常有限。然而,Wordfence認為攻擊者正在根據該漏洞如何創建用戶賬戶的方式添加用戶名作為註冊的電子郵件地址,並在某些情況下安裝了標有wpstaff的惡意插件。我們強烈建議檢查您的網站是否有任何不認識的管理員或您沒有安裝的插件。
Wordfence及EBuildHost將在了解更多信息後更新本篇文章內容。
Wordfence 應對時間表
March 8th, 2021 8:55 AM UTC – New vulnerability entry in WPScan reporting 0-day vulnerability in the The Plus Addons for Elementor plugin.
March 8th, 2021 1:32 PM UTC – Wordfence Threat Intelligence is alerted to the new vulnerability report and begins to triage the vulnerability.
March 8th, 2021 2:08 PM UTC – We verify the existence of the vulnerability and create a proof of concept.
March 8th, 2021 2:20 PM UTC – We create and begin testing a firewall rule to protect against the vulnerability.
March 8th, 2021 2:25 PM UTC – We reach out to the plugin developer to make sure that they are aware of the vulnerability and offer to provide details if required.
March 8th, 2021 2:50 PM UTC – The firewall rule is deployed to premium users.
April 7th, 2021 – Wordfence Free users receive the firewall rule.
結論
在今天的帖子中,我們詳細介紹了The Plus Addons for Elementor尚未修補的安全漏洞,該插件可讓未經身份驗證的攻擊者提升其在易受攻擊的WordPress注冊管理員權限。這可以令您的WordPress網站被完全接管或破壞。截至今天早上,此漏洞當前仍未修復,因此,我們強烈建議您停用並刪除該插件,直到發布補丁為止。
當Wordfence有新一步進展我們亦會盡快更新部落格