漏洞概述
Elementor是一款免費的wordpress視覺化頁面編輯器,只需要簡單安裝外掛程式就可以使用它來視覺化的編輯wordpress文章或者頁面,而且現在已經支援中文,使用起來非常簡單。
Beaver Builder是一個精緻的WordPress的頁面生成器。
該漏洞存在於兩個外掛程式中,它們使WordPress帳戶持有者(包括管理員)可以通過Facebook和Google登錄機制進行身份驗證。由於在用戶通過Facebook或Google登錄時缺少對身份驗證方法的檢查,因此容易受到攻擊的外掛程式被欺騙,允許惡意使用者像其他任何目標使用者一樣登錄,而無需輸入任何密碼。
影響版本
Ultimate Addons for Elementor <= 1.20.0
Ultimate Addons for Beaver Builder <= 1.24.0
修復建議
目前廠商已發佈最新版本以修復漏洞,請關注以下連結:
https://uaelementor.com/security-update-1201/
https://www.ultimatebeaver.com/security-update-1241/
更新後還是無法處理,建議找我們esafe幫您做防護。
