安全研究人员就 Elementor Website Builder 及其专业版中发现的六个独特的 XSS 漏洞发布了公告,这些漏洞可能允许攻击者注入恶意脚本。
Elementor Website Builder
Elementor 是一个领先的建站平台,在全球拥有 500 多万活跃安装用户,WordPress 官方数据库声称它为全球 1600 多万个网站提供了支持。拖放界面让任何人都能快速创建专业网站,而专业版则通过额外的部件和高级电子商务功能扩展了平台。
这种受欢迎程度也使 Elementor 成为黑客攻击的热门目标,因此这六个漏洞尤其值得关注。
六个 XSS 漏洞
Elementor Website Builder 和专业版包含六个不同的跨站脚本 (XSS) 漏洞。其中五个漏洞是由于输入消毒和输出转义不足造成的,一个漏洞是由于输入消毒不足造成的。
输入净化是一种标准的编码实践,用于保护插件中允许用户向表单字段输入数据或上传媒体的区域。净化过程会阻止任何不符合预期的输入。文本数据的正确安全输入应阻止脚本或 HTML,这正是输入消毒的作用。
输出转义是确保插件向浏览器输出的内容安全的过程,以防止网站访问者的浏览器接触到不可靠的脚本。
官方 WordPress 开发人员手册建议对输入进行消毒:
“Sanitizing input is the process of securing/cleaning/filtering input data.” "净化输入是对输入数据进行安全保护/清理/过滤的过程"。
值得注意的是,这六个漏洞都是不同的,彼此完全无关,都是由于 Elementor 方面的安全性不足造成的。其中的 CVE-2024-2120 可能同时影响免费版和专业版。我联系了 Wordfence 以澄清这一点,并将在收到回复后更新本文。
六个 Elementor 漏洞列表
下面列出了这六个漏洞及其影响的版本。所有六个漏洞都被评为中级安全威胁。列表中的前两个影响 Elementor Website Builder,后四个影响专业版。CVE 编号是指 Common Vulnerabilities and Exposures 数据库中的官方条目,该数据库可作为已知漏洞的参考。
Elementor Website Builder (CVE-2024-2117)
影响 3.20.2(含 3.20.2) - 通过路径小部件进行基于 DOM 的验证存储跨站脚本攻击
Elementor Website Builder Pro (and maybe free) (CVE-2024-2120)
影响 3.20.1(含 3.20.1) - 通过帖子导航验证存储的跨站脚本
Elementor Website Builder Pro (CVE-2024-1521)
影响 3.20.1(含 3.20.1) - 通过表单部件 SVGZ 文件上传验证存储的跨站脚本;此漏洞仅影响运行基于 NGINX 服务器的服务器。运行 Apache HTTP 服务器的服务器不受影响。
Elementor Website Builder Pro (CVE-2024-2121)
影响 3.20.1(含 3.20.1) - 通过媒体旋转木马 widget 验证存储的跨站脚本
Elementor Website Builder Pro (CVE-2024-1364)
影响 3.20.1(含 3.20.1) - 通过 widget 的 custom_id 验证存储的跨站脚本
Elementor Website Builder Pro (CVE-2024-2781)
影响 3.20.1(含 3.20.1) - 通过 video_html_tag 验证基于 DOM 的存储跨站脚本
所有六个漏洞都被评为中级安全威胁,需要贡献者级别的权限才能执行。
Elementor 网站生成器更新日志
根据 Wordfence 的说法,有两个漏洞会影响免费版的 Elementor。但更新日志显示只有一个修复。
影响免费版的问题出现在路径小工具和帖子导航小工具中。
但免费版的更新日志只列出了文本路径小工具的补丁,而没有列出 "帖子导航 "的补丁:
“Security Fix: Improved code security enforcement in Text Path Widget” 安全修复:改进文本路径部件中的代码安全执行
帖子导航小工具是一种导航功能,允许网站访问者导航到一系列帖子中的上一篇或下一篇。
因此,尽管在更新日志中没有提及,但在 Elementor Pro 更新日志中却有提及,这表明该版本已对其进行了修复:
“Security Fix: Improved code security enforcement in Media Carousel widget
Security Fix: Improved code security enforcement in Form widget
Security Fix: Improved code security enforcement in Post Navigation widget
Security Fix: Improved code security enforcement in Gallery widget
Security Fix: Improved code security enforcement in Video Playlist widget”
免费版更新日志中缺少的条目可能是 Wordfence 的误报,因为 Wordfence 官方的 CVE-2024-2120 公告显示 "软件标题 "条目为 elementor-pro。
建议采取的行动
我们建议两个版本的 Elementor 网站生成器用户都将其插件更新到最新版本。虽然执行该漏洞需要攻击者获得贡献者级别的权限凭证,但这仍然是有可能发生的,尤其是如果贡献者没有强大的密码。
阅读官方 Wordfence 建议:
Elementor Website Builder – More than Just a Page Builder <= 3.20.2 – Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting via Path Widget CVE-2024-2117
Elementor Website Builder – More than Just a Page Builder <= 3.20.1 – Authenticated (Contributor+) Stored Cross-Site Scripting via Post Navigation CVE-2024-2120
Elementor Website Builder Pro <= 3.20.1 – Authenticated (Contributor+) Stored Cross-Site Scripting via Form Widget SVGZ File Upload CVE-2024-1521
Elementor Website Builder Pro <= 3.20.1 – Authenticated (Contributor+) Stored Cross-Site Scripting CVE-2024-2121
Elementor Website Builder Pro <= 3.20.1 – Authententicated (Contributor+) Stored Cross-Site Scripting via widget’s custom_id CVE-2024-1364
Elementor Website Builder Pro <= 3.20.1 – Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting via video_html_tag CVE-2024-2781