首頁 > 安全研究 > 安全通報 > 安全通告

WordPress Elementor和Beaver插件中安全漏洞風險通告

發布時間 2019-12-16

漏洞編號和級別


CVE編號:暫無,危險級別:高危,CVSS分值:官方未評定


影響版本


Ultimate Addons for Elementor <= 1.20.0

Ultimate Addons for Beaver Builder <= 1.24.0


漏洞概述


Elementor是一款免費的wordpress可視化頁面編輯器,只需要簡單安裝插件就可以使用它來可視化的編輯wordpress文章或者頁面,而且現在已經支持中文,使用起來非常簡單。


Beaver Builder是一個精致的WordPress的頁面生成器。


該漏洞存在于兩個插件中,它們使WordPress帳戶持有者(包括管理員)可以通過Facebook和Google登錄機制進行身份驗證。由于在用戶通過Facebook或Google登錄時缺少對身份驗證方法的檢查,因此容易受到攻擊的插件被欺騙,允許惡意用戶像其他任何目標用戶一樣登錄,而無需輸入任何密碼。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布最新版本以修復漏洞,請關注以下鏈接:

https://uaelementor.com/security-update-1201/

https://www.ultimatebeaver.com/security-update-1241/


參考鏈接


https://thehackernews.com/2019/12/wordpress-elementor-beaver.html


上一篇 下一篇