WordPress Elementor和Beaver插件中安全漏洞风险通告
发布时间 2019-12-16漏洞编号和级别
CVE编号:暂无,危险级别:高危,CVSS分值:官方未评定
影响版本
Ultimate Addons for Elementor <= 1.20.0
Ultimate Addons for Beaver Builder <= 1.24.0
漏洞概述
Elementor是一款免费的wordpress可视化页面编辑器,只需要简单安装插件就可以使用它来可视化的编辑wordpress文章或者页面,而且现在已经支持中文,使用起来非常简单。
Beaver Builder是一个精致的WordPress的页面生成器。
该漏洞存在于两个插件中,它们使WordPress帐户持有者(包括管理员)可以通过Facebook和Google登录机制进行身份验证。由于在用户通过Facebook或Google登录时缺少对身份验证方法的检查,因此容易受到攻击的插件被欺骗,允许恶意用户像其他任何目标用户一样登录,而无需输入任何密码。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布最新版本以修复漏洞,请关注以下链接:
https://uaelementor.com/security-update-1201/
https://www.ultimatebeaver.com/security-update-1241/
参考链接
https://thehackernews.com/2019/12/wordpress-elementor-beaver.html
京公网安备11010802024551号