WordPress Elementor 3.6.2 远程代码执行

描述：访问控制不足导致 Subscriber+ 远程代码执行

受影响的插件：Elemento

插件蛞蝓：elemento

插件开发者：Elemento

受影响的版本：3.6.0 – 3.6.2

CVE ID：CVE-2022-1329

CVSS 分数：9.9（临界）

CVSS 矢量：CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

研究员：Ramuel Gall

完全修补版本：3.6.3

WordPress 的 Elementor 插件在 3.6.0 版本中引入了一个 Onboarding 模块，旨在简化插件的初始设置。该模块使用一种不寻常的方法来注册 AJAX 操作，在其构造函数中添加一个 admin_init 侦听器，该侦听器首先检查请求是否发往 AJAX 端点并在调用 may_handle_ajax 函数之前包含有效的随机数。

不幸的是，在易受攻击的版本中没有使用能力检查。经过身份验证的用户可以通过多种方式获取 Ajax::NONCE_KEY，但最简单的方法之一是以登录用户的身份查看管理仪表板的源，因为它存在于所有经过身份验证的用户中，即使对于订阅者级别的用户。

这意味着任何登录用户都可以使用任何入职功能。此外，访问 Ajax::NONCE_KEY 的未经身份验证的攻击者可以使用从 may_handle_ajax 调用的任何函数，尽管这可能需要一个单独的漏洞。

影响最严重的函数是upload_and_install_pro 函数。攻击者可以制作伪造的恶意“Elementor Pro”插件 zip 并使用此功能进行安装。假插件中存在的任何代码都将被执行，这些代码可用于接管站点或访问服务器上的其他资源。

除了这个功能，一个不太复杂的攻击者可以简单地通过使用maybe_update_site_name、maybe_upload_logo_image 和maybe_update_site_logo 函数来更改站点名称和徽标来破坏站点。

时间线

2022 年 3 月 29 日——我们完成调查并部署防火墙规则，以保护 Wordfence Premium、Wordfence Care 和 Wordfence Response 客户。我们将全部披露信息发送给插件开发人员的官方安全联系人。

2022 年 4 月 5 日 - 我们与插件开发人员的安全联系人联系，因为我们尚未收到回复。

2022 年 4 月 11 日 – 我们向 WordPress 插件团队发送我们的全部披露信息。

2022 年 4 月 12 日 – Elementor 的补丁版本发布。

2022 年 4 月 28 日 – 免费 Wordfence 用户可以使用防火墙规则。