HackerNews 编译,转载请注明出处:
Elementor建站工具配套插件RomethemeKit曝出严重安全漏洞,该漏洞允许远程代码执行(RCE),目前已在1.5.5版本中完成修复。这款拥有超3万活跃安装量的插件主要用于为Elementor用户提供模板、部件和图标包,简化缺乏编程经验用户的建站流程。
网络安全公司Patchstack研究发现,旧版本中的install_requirements函数因缺少权限验证和非随机数(nonce)检查,使得任何已认证用户(包括仅具备订阅者权限的低权账户)均可利用此漏洞安装并激活任意插件。恶意插件一旦激活,攻击者即可远程执行任意代码。该漏洞被收录为CVE-2025-30911。
开发商Rometheme于2025年1月14日收到漏洞通报,1月30日发布的1.5.4版本尝试修补但未彻底解决问题。直至3月14日推出的1.5.5版本才通过添加权限验证和非随机数检查实现完整修复。
为避免同类漏洞,安全专家建议插件开发者在设计与开发阶段采取以下措施:
- 对涉及文件上传、插件安装、设置变更等管理级操作实施严格权限控制。为所有通过AJAX发起的操作添加非随机数验证,防范跨站请求伪造(CSRF)攻击。禁止向订阅者、投稿者等低权限角色开放插件安装/激活等敏感功能接口。
建立完善的验证框架并遵循WordPress官方编码规范,可显著降低远程代码执行等风险。定期代码审计、安全测试与及时更新同样是保障插件安全的关键措施。
消息来源: infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
