Elementor插件曝出六大安全漏洞，网站安全面临严峻挑战

最近，有安全专家发现了 Elementor 网站建设器及其 Pro 版本中存在六个不同的 XSS 漏洞，这些漏洞可能让黑客有机可乘，能够在网站上注入恶意脚本。

Elementor 网站建设者介绍

Elementor 是一个非常流行的网站建设工具，目前在全球拥有超过 500 万个活跃用户。根据官方的说法，它支持超过 1600 万个网站。这个平台的拖放式界面让任何人都能轻松创建出专业的网站，而其专业版则提供了更多小部件和高级电商功能，进一步扩展了其应用范围。

不过，正是因为它的广泛使用，Elementor 也成为了黑客的重点目标，因此这六个漏洞显得尤为重要。

六个 XSS 漏洞的详细信息

在 Elementor 网站建设器和 Pro 版本中，有六种不同的跨站脚本（XSS）漏洞。其中五个是因为输入未经过适当清理和输出未经过转义造成的，而另一个则仅是由于输入清理不足。

说到输入清理，其实就是一种编码的规范性做法，目的是为了保护用户在表单或者上传媒体时的输入安全。通过这种清理，可以有效挡住那些不符合规定的输入，比如恶意脚本或 HTML 代码，这就是输入清理的意义所在。

而输出转义则是为了保护插件在输出内容到浏览器时，避免潜在的恶意脚本影响到访问者的浏览器。

根据 WordPress 官方开发者手册，建议进行输入清理：

“清理输入是为了保护、清理和过滤输入数据的过程。”

需要注意的是，这六个漏洞各自不同，互不相关，都是由于 Elementor 的安全性不足造成的。其中一个漏洞（CVE-2024-2120）可能同时影响到免费版和 Pro 版。我已经联系 Wordfence 请求澄清，等收到回复后会更新这篇文章。

六个 Elementor 漏洞汇总

下面是这六个漏洞以及受影响版本的清单。所有漏洞都被评定为中等级别的安全威胁。前两个漏洞影响 Elementor 网站建设器，后面的四个则是针对 Pro 版本的。CVE 编号是常见漏洞和披露数据库中的官方条目，可以作为已知漏洞的参考。

1. Elementor 网站构建器（CVE-2024-2117） 影响版本（包括 3.20.2 及以下） – 通过路径小部件实现的基于 DOM 的跨站脚本存储。
2. Elementor Website Builder Pro（可能影响免费版）（CVE-2024-2120） 影响版本 3.20.1 及以下 – 通过帖子导航实现的跨站脚本存储。
3. Elementor Website Builder Pro（CVE-2024-1521） 影响版本 3.20.1 及以下 – 通过表单小部件的身份验证实现的 SVGZ 文件上传跨站脚本存储，此漏洞只影响运行基于 NGINX 的服务器，使用 Apache HTTP Server 的服务器不受影响。
4. Elementor Website Builder Pro（CVE-2024-2121） 影响版本 3.20.1 及以下 – 通过媒体轮播小组件实现的跨站脚本存储。
5. Elementor Website Builder Pro（CVE-2024-1364） 影响版本 3.20.1 及以下 – 通过小部件 custom_id 实现的跨站脚本存储。
6. Elementor Website Builder Pro（CVE-2024-2781） 影响版本（包括 3.20.1 及以下） – 通过 video_html_tag 实现的基于 DOM 的存储跨站脚本。

所有六个漏洞的安全威胁等级为中等，需要参与者级别的权限才能执行。

Elementor 网站建设者的更新日志

根据 Wordfence 的信息，有两个漏洞会影响到 Elementor 的免费版本。但在更新日志中，仅显示了一个修复的记录。

影响免费版本的漏洞存在于路径小部件和帖子导航小部件中。

不过，免费版的更新日志中只提到了文本路径小部件的补丁，而没有提到帖子导航的小部件：

“安全修复：改进了文本路径小部件中的代码安全性。”

帖子导航小部件是允许用户在一系列帖子中快速找到上一篇或下一篇文章的功能。

虽然在更新日志中没提到，但它在 Elementor Pro 的更新日志中确实有修复记录：

“安全修复：改进了媒体轮播小组件中的代码安全性；安全修复：改进了表单小组件中的代码安全性；安全修复：改进了文章导航小组件中的代码安全性；安全修复：改进了库构件中的代码安全性；安全修复：改进了视频播放列表小组件中的代码安全性。”

免费更新日志中缺失的条目可能是 Wordfence 的误印，因为官方公告中将 CVE-2024-2120 的“软件标识”条目显示为 elementor-pro。

建议用户的行动方案

我们强烈建议使用 Elementor 网站建设器的用户尽快将插件更新到最新版本。虽然攻击者需要获得贡献者级别的权限才能利用这些漏洞，但在某些情况下，尤其是密码不够强大的情况下，这种风险依然存在。

想了解更多，请查看官方的 Wordfence 公告：

Elementor 网站建设器 – 不仅仅是页面构建器

Elementor 网站建设器 – 不仅仅是页面构建器

Elementor Website Builder Pro

Elementor Website Builder Pro

Elementor Website Builder Pro

Elementor Website Builder Pro