研究人员已针对 11 个独立的 Elementor 附加插件发布了建议,其中包含 15 个漏洞,这些漏洞可能使黑客能够上传恶意文件。其中一个被评为高威胁漏洞,因为它可以让黑客绕过访问控制、执行脚本并获取敏感数据。
大多数漏洞都是存储跨站脚本 (XSS)。其中三个是本地文件包含。
XSS 漏洞是 WordPress 插件和主题中最常见的漏洞形式之一。它们通常是由输入数据保护方式(输入清理)以及输出数据锁定方式(输出转义)方面的缺陷引起的。
本地文件包含漏洞是一种利用不安全的用户输入区域的漏洞,允许攻击者将文件“包含”到输入中。 Include 是一个编码术语。用简单的英语来说,文件包含是一个脚本事物(语句),它告诉网站从文件中添加特定代码,例如 PHP 文件。我在 PHP 中使用了 include 来从一个文件中引入数据(例如网页的标题)并将其粘贴到元描述中,这是一个 include 的示例。
这种漏洞可能是一个严重的威胁,因为它允许攻击者“包含”各种代码,从而能够绕过对网站上可以执行的操作和/或允许访问的任何限制通常受到限制的敏感数据。
Copyright © 2012-2025 爱永设计