WordPress 网站：请勿安装 Elementor 附加插件

研究人员已针对 11 个独立的 Elementor 附加插件发布了警告，这些插件存在 15 个漏洞，可使黑客上传恶意文件成为可能。其中一个漏洞被评为高危漏洞，因为它可以让黑客绕过访问控制、执行脚本并获取敏感数据。

两种不同的漏洞

大部分漏洞属于存储跨站脚本 (XSS)。其中三个是本地文件包含。

XSS 漏洞是 WordPress 插件和主题中最常见的漏洞形式之一。它们通常是由于输入数据的安全（输入消毒）和输出数据的锁定（输出转义）方式存在缺陷而产生的。

本地文件包含漏洞是指利用不安全的用户输入区，允许攻击者在输入中 "包含 "文件的漏洞。包含是一个编码术语。简单地说，文件包含是一个脚本（语句），它告诉网站从文件（如 PHP 文件）中添加特定代码。我曾在 PHP 中使用过包含，将一个文件中的数据（如网页标题）引入元描述中，这就是包含的一个例子。

这种漏洞可能是一种严重威胁，因为它允许攻击者 "包含 "大量代码，进而绕过对在网站上执行操作的任何限制，和/或允许访问通常受限制的敏感数据。

开放网络应用程序安全项目（OWASP）定义了本地文件包含漏洞：

“The File Inclusion vulnerability allows an attacker to include a file, usually exploiting a “dynamic file inclusion” mechanisms implemented in the target application. The vulnerability occurs due to the use of user-supplied input without proper validation.  "文件包含 "漏洞允许攻击者通常利用目标应用程序中实施的 "动态文件包含 "机制来包含文件。漏洞发生的原因是使用了未经适当验证的用户输入。

This can lead to something as outputting the contents of the file, but depending on the severity, it can also lead to:  这可能导致输出文件内容，但根据严重程度，也可能导致：

Code execution on the web server  在网络服务器上执行代码

Code execution on the client-side such as JavaScript which can lead to other attacks such as cross site scripting (XSS)  在客户端执行代码，如 JavaScript，这可能导致其他攻击，如跨站脚本 (XSS)

Denial of Service (DoS)  拒绝服务（DoS）

Sensitive Information Disclosure” 敏感信息披露

易受攻击的 Elementor 附加插件列表

共有 11 个 Elementor 附加插件发布了漏洞公告，其中两个是今天（3 月 29 日）发布的，两个是 3 月 28 日发布的。其余七个是在过去几天内发布的。

有些插件存在不止一个漏洞，因此有 11 个插件共存在 15 个漏洞。

在这 11 个插件中，一个被评为 "高严重性 "漏洞，其余为 "中等严重性 "漏洞。

以下是按从最新到最早降序排列的插件列表。漏洞旁边的数字表示这些漏洞是否不止一个。

易受攻击的 Elementor 附加组件列表

1. ElementsKit Elementor addons (x2)

2. Unlimited Elements For Elementor

3. 140+ Widgets | Best Addons For Elementor

4. Better Elementor Addons

5. Elementor Addon Elements (x2)

6. Master Addons for Elementor

7. The Plus Addons for Elementor (x2)

8. Essential Addons for Elementor (x2)

9. Element Pack Elementor Addons

10. Prime Slider – Addons For Elementor

11. Move Addons for Elementor

高严重性漏洞

在 WordPress 的 ElementsKit Elementor Addons 插件中发现的高严重性漏洞尤其令人担忧，因为它可能使超过一百万个网站处于危险之中。该漏洞的评分为 8.8（1-10 分）。

它之所以如此受欢迎，是因为该插件集所有功能于一身，用户可以轻松修改页眉、页脚和菜单中的几乎所有页面设计功能。它还包含一个庞大的模板库和 85 个小工具，可为使用 Elementor 建站平台创建的网页添加额外功能。

Wordfence 安全研究人员描述了该漏洞威胁：

“The ElementsKit Elementor addons plugin for WordPress is vulnerable to Local File Inclusion in all versions up to, and including, 3.0.6 via the render_raw function. This makes it possible for authenticated attackers, with contributor-level access and above, to include and execute arbitrary files on the server, allowing the execution of any PHP code in those files. This can be used to bypass access controls, obtain sensitive data, or achieve code execution in cases where images and other “safe” file types can be uploaded and included.”  用于 WordPress 的 ElementsKit Elementor addons 插件在 3.0.6 及以前的所有版本中都存在通过 render_raw 函数导致本地文件包含的漏洞。这使得拥有贡献者级别及以上访问权限的经过验证的攻击者可以在服务器上包含并执行任意文件，允许执行这些文件中的任何 PHP 代码。在可以上传并包含图片和其他 "安全 "文件类型的情况下，这可用于绕过访问控制、获取敏感数据或实现代码执行。

数百万 WordPress 网站受到影响

这些漏洞可能会影响 300 多万个网站。其中仅两个插件就有 300 万个有效安装。网站往往只使用其中一个插件，因为它们的功能有一定的重叠。其中一些插件的多合一性质意味着只需要一个插件就可以访问用于添加滑块、菜单和其他页面元素的重要部件。

按安装数量分列的漏洞插件列表

1. Essential Addons for Elementor – 2 Million

2. ElementsKit Elementor addons – 1 Million

3. Unlimited Elements For Elementor – 200k

4. Elementor Addon Elements – 100k

5. The Plus Addons for Elementor – 100k

6. Element Pack Elementor Addons – 100k

7. Prime Slider – Addons For Elementor – 100k

8. Master Addons for Elementor – 40k

9. 140+ Widgets | Best Addons For Elementor – 10k

10. Move Addons for Elementor – 3k

11. Better Elementor Addons – Unknown – Closed By WordPress

建议采取的行动

虽然许多中级严重性漏洞需要黑客获得贡献者级别的身份验证才能发起攻击，但最好不要低估其他插件或安装的主题所带来的风险，它们可能会让攻击者有能力发起这些特定的攻击。

一般来说，在将更新推送到实时网站之前，最好先测试更新后的主题。

阅读 Wordfence 官方公告（含 CVE 编号）：

A. 03/29 ElementsKit Elementor addons <= 3.0.6 – Authenticated (Contributor+) Stored Cross-Site Scripting CVE-2024-1238

B. 03/29 ElementsKit Elementor addons <= 3.0.6 – Authenticated (Contributor+) Local File Inclusion in render_raw CVE-2024-2047 8.8 HIGH THREAT

03/29 Unlimited Elements For Elementor <= 1.5.96 – Authenticated (Contributor+) Stored Cross-Site Scripting via Widget Link CVE-2024-0367

3/28 140+ Widgets | Best Addons For Elementor – FREE <= 1.4.2 – Authenticated (Contributor+) Stored Cross-Site Scripting CVE-2024-2250

3/28 Better Elementor Addons <= 1.4.1 – Authenticated(Contributor+) Stored Cross-Site Scripting via widget links CVE-2024-2280

A. Elementor Addon Elements <= 1.13.1 – Authenticated (Contributor+) Stored Cross-Site Scripting CVE-2024-2091

B. Elementor Addon Elements <= 1.13.2 – Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting via ‘Text Separator’ and ‘Image Compare’ Widget CVE-2024-2792

Master Addons for Elementor <= 2.0.5.6 – Authenticated (Contributor+) Stored Cross-Site Scripting via Pricing Table Widget CVE-2024-2139

A. The Plus Addons for Elementor <= 5.4.1 – Authenticated (Contributor+) Local File Inclusion via Team Member Listing CVE-2024-2210

B. The Plus Addons for Elementor <= 5.4.1 – Authenticated (Contributor+) Local File Inclusion via Clients Widget CVE-2024-2203

A. Essential Addons for Elementor – Best Elementor Templates, Widgets, Kits & WooCommerce Builders <= 5.9.11 – Authenticated (Contributor+) Stored Cross-Site Scripting ( via the countdown widget’s message parameter) CVE-2024-2623

B. Essential Addons for Elementor – Best Elementor Templates, Widgets, Kits & WooCommerce Builders <= 5.9.11 – Authenticated (Contributor+) Stored Cross-Site Scripting (via the alignment parameter in the Woo Product Carousel widget) CVE-2024-2650

Element Pack Elementor Addons <= 5.5.3 – Authenticated (Contributor+) Stored Cross-Site Scripting via link CVE-2024-30185

Prime Slider – Addons For Elementor <= 3.13.1 – Authenticated (Contributor+) Stored Cross-Site Scripting via title CVE-2024-30186

Move Addons for Elementor <= 1.2.9 – Authenticated (Contributor+) Stored Cross-Site Scripting CVE-2024-2131