安全研究人员就 Elementor Website Builder 及其 Pro 版本中发现的六个独特的 XSS 漏洞发布了公告，这些漏洞可能允许攻击者注入恶意脚本。

Elementor 网站建设者

Elementor 是一个领先的网站建设平台，在全球拥有超过 500 万的活跃安装量，官方 WordPress 存储库声称它为全球超过 1600 万个网站提供支持。拖放界面允许任何人快速创建专业网站，而专业版则通过额外的小部件和高级电子商务功能扩展了平台。

这种受欢迎程度也使 Elementor 成为黑客的热门目标，这使得这六个漏洞特别受到关注。

六个 XSS 漏洞

Elementor Website Builder 和 Pro 版本包含六种不同的跨站点脚本 （XSS） 漏洞。其中 5 个漏洞是由于输入清理不足和输出转义造成的，而其中一个漏洞是由于输入清理不足造成的。

输入清理是一种标准编码做法，用于保护插件允许用户将数据输入表单字段或上传媒体的区域。消毒过程会阻止任何不符合预期的输入。文本数据的适当安全输入应阻止脚本或 HTML，这就是输入清理的作用。

输出转义是保护插件输出到浏览器的内容以防止其将网站访问者的浏览器暴露给不受信任的脚本的过程。

官方的 WordPress 开发人员手册建议进行输入清理：

“清理输入是保护/清理/过滤输入数据的过程。”

需要注意的是，所有六个漏洞都是不同的，彼此完全无关，特别是由于 Elementor 方面的安全性不足而产生的。其中之一 CVE-2024-2120 可能会同时影响免费版和专业版。我联系了 Wordfence 对此进行澄清，并将在收到回复后相应地更新本文。

六个 Elementor 漏洞列表

以下是六个漏洞及其影响的版本的列表。所有六个漏洞都被评为中等级别安全威胁。列表中的前两个影响 Elementor 网站建设者，接下来的四个影响 Pro 版本。CVE 编号是对常见漏洞和披露数据库中官方条目的引用，可作为已知漏洞的参考。

1. Elementor 网站构建器 （CVE-2024-2117）
   影响（包括 3.20.2）及以下版本 – 通过路径小部件进行基于 DOM 的身份验证存储跨站点脚本
2. Elementor Website Builder Pro（可能免费） （CVE-2024-2120）
   影响 3.20.1 及以下版本 – 通过帖子导航进行身份验证的存储跨站点脚本
3. Elementor Website Builder Pro （CVE-2024-1521）
   影响及以下 3.20.1 – 通过表单小部件进行身份验证的存储跨站点脚本 SVGZ 文件上传
   此漏洞仅影响运行基于 NGINX 的服务器的服务器。运行 Apache HTTP Server 的服务器不受影响。
4. Elementor Website Builder Pro （CVE-2024-2121）
   影响及最高 3.20.1 – 通过媒体轮播小组件进行身份验证的存储跨站点脚本
5. Elementor Website Builder Pro （CVE-2024-1364）
   影响及最高 3.20.1 – 通过小部件custom_id进行身份验证的存储跨站点脚本
6. Elementor Website Builder Pro （CVE-2024-2781）
   影响（包括 3.20.1）及以下版本 – 通过 video_html_tag 进行身份验证的基于 DOM 的存储跨站点脚本

所有六个漏洞都被评为中等级别的安全威胁，需要参与者级别的权限级别才能执行。

Elementor 网站建设者更新日志

根据 Wordfence 的说法，有两个漏洞会影响 Elementor 的免费版本。但更新日志显示只有一个修复程序。

影响免费版本的问题存在于 Path Widget 和 Post Navigation Widget 中。

但是免费版的更新日志只列出了文本路径小部件的补丁，而不是帖子导航的补丁：

“安全修复：改进了文本路径小部件中的代码安全强制”

帖子导航小部件是一种导航功能，允许网站访问者导航到一系列帖子中的上一篇文章或下一篇文章。

因此，尽管它在更新日志中丢失，但它包含在 Elementor Pro 更新日志中，这表明它在该版本中已修复：

“安全修复：改进了媒体轮播小部件中的代码安全实施安全修复：改进了表单小组件中的代码安全强制措施安全修复：改进了“文章导航”小组件中的代码安全强制措施安全修复：改进了库构件中的代码安全强制措施安全修复：改进了视频播放列表小组件中的代码安全强制”

免费更新日志中缺少的条目可能是 Wordfence 的印刷错误，因为 CVE-2024-2120 的官方 Wordfence 公告将“software slug”条目显示为 elementor-pro。

建议的行动方案

鼓励两个版本的 Elementor 网站构建器的用户将其插件更新到最新版本。尽管执行此漏洞需要攻击者获取贡献者级别的权限凭据，但它仍然处于可能性的范围内，尤其是在贡献者没有强密码的情况下。

阅读官方 Wordfence 公告：

Elementor 网站构建器 – 不仅仅是页面构建器 <= 3.20.2 – 通过路径小部件进行身份验证 （Contributor+） 基于 DOM 的存储跨站点脚本 CVE-2024-2117

Elementor 网站构建器 – 不仅仅是页面构建器 <= 3.20.1 – 通过帖子导航经过身份验证 （Contributor+） 存储跨站点脚本 CVE-2024-2120

Elementor Website Builder Pro <= 3.20.1 – 通过表单小部件 SVGZ 文件上传的经过身份验证 （Contributor+） 存储的跨站点脚本 上传 CVE-2024-1521

Elementor Website Builder Pro <= 3.20.1 – 经过身份验证 （Contributor+） 存储的跨站脚本 CVE-2024-2121

Elementor Website Builder Pro <= 3.20.1 – 通过小部件的 custom_id CVE-2024-1364 存储的身份验证 （Contributor+） 跨站点脚本

Elementor Website Builder Pro <= 3.20.1 – 通过 video_html_tag CVE-2024-2781 通过 CVE-2024-2781 进行身份验证 （Contributor+） 基于 DOM 的存储跨站点脚本