我們在WordPress插件 Elementor Pro插件中發現了一個漏洞（遠程代碼執行（RCE）攻擊），該漏洞可能允許使用者遠程執行代碼。

WordPress是使用PHP實現的基于Web的發布應用程序，而Elementor Pro 插件允許網站設計人員使用和創建者使用自定義主題和窗口小部件來創建網頁。使用者可能利用此漏洞來遠程執行代碼。

黑客正在活躍的利用Elementor Pro和Ultimate Addons的Elementor WordPress中的兩個安全漏洞，最終目的是遠程執行任意代碼并完全破壞未更新插件的網站。

受影響的插件：

2.9.4版本之前Elementor Pro插件

漏洞利用

1）成功利用此安全漏洞的攻擊者可以安裝后門或Web Shell來維護對受感染站點的訪問，獲得完全管理員訪問權限以完全破壞它，甚至清除整個網站。

2）如果他們無法注冊為用戶，則可以利用第二個漏洞來影響Ultimate插件的Elementor WordPress插件（已安裝在110,000多個網站上），這將使他們可以在運行該插件的任何站點上注冊成為用戶，即使用戶注冊功能被禁用。

3）然后他們繼續使用新注冊的帳戶來利用Elementor Pro漏洞并實現遠程代碼執行

您需要做如下操作：

1）在進行適當的測試后，立即在網站中更新Elementor提供的新版本。

2）將Elementor Pro更新到2.9.4或更高版本，此版本修復了遠程執行代碼漏洞。

3）對于Elementor的Ultimate Addons，用戶應升級到1.24.2或更高版本。

4）關于VPS和獨立服務器，在更新插件之前，請確認系統中沒有遭受過由于相關漏洞導致的網站入侵。

有關更多詳細信息，請參考以下的鏈接

https://www.wordfence.com/blog/2020/05/combined-attack-on-elementor-pro-and-ultimate-addons-for-elementor-puts-1-million-sites-at-risk/
https://www.bleepingcomputer.com/news/security/critical-wordpress-plugin-bug-lets-hackers-take-over-1m-sites/

如有任何疑問，請聯系我們的支持團隊。

如果您對此有任何疑問，請您隨時與我們保持聯系。