WordPress Elementor Pro 代码问题漏洞(CVE-2020-13126)

来源:scanv2020.05.20

一 漏洞概述

2020年5月16日,WordPress出现了一个代码漏洞。该漏洞至少自2020年5月5日起被利用。WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。Elementor Pro是使用在其中的一个网页构建器插件。
WordPress Elementor Pro 2.9.4之前版本中存在安全漏洞。远程攻击者可利用该漏洞上传任意的可执行文件,进而执行任意代码。注意:免费的Elementor插件不受影响。

二 影响版本

WordPress Elementor Pro 2.9.4之前的版本。

三 复现过程

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “WordPress” 进行搜索,共得到 6,922,055条 IP 历史记录,主要分布在美国等国家。

五 修复建议

更新这些插件至最新版本(Elementor Pro2.9.4版,Elementor Ultimate Addons 1.24.2版)。

六 相关链接

Wordfence:https://www.wordfence.com/blog/2020/05/combined-attack-on-elementor-pro-and-ultimate-addons-for-elementor-puts-1-million-sites-at-risk/

ZoomEye 网络空间搜索引擎:https://www.zoomeye.org/searchResult/report?q=app%3A%22WordPress%22

热门文章

  • WebSphere远程代码执行漏洞(CVE-2020-4450)

    2020年6月5日,IBM官方发布通告修复了WebSphere Application Server(WAS)中的远程代码执行(CVE-2020-4450)漏洞,此漏洞由IIOP协议上的反序列化造成,未经身份认证的攻击者可以通过IIOP协议远程攻击WAS服务器,在目标服务端执行任意代码,获取系统权限,进而接管服务器。

  • SpaceX火箭发射成功,勒索团伙入侵其IT供应商内网并留下祝贺信息

    SpaceX和美国宇航局NASA首次载人火箭发射成功后不久,勒索团伙DopplePaymer即刻宣布入侵了NASA IT供应商之一DMI的内网。

  • 用友NC反序列化远程命令执行“0-Day”漏洞

    2020年6月4日,知道创宇监测到有国内安全组织披露用友NC存在反序列化远程命令执行“0-Day”漏洞。经知道创宇安全团队分析,漏洞真实存在,攻击者通过构造特定的HTTP请求,可以成功利用漏洞在目标服务器上执行任意命令,该漏洞风险极大,可能造成严重的信息泄露事件。

关注知道创宇云安全

获取安全动态