研究人员已经披露了多个WordPress插件中的漏洞，如果成功利用这些漏洞，则攻击者可以在某些情况下运行任意代码并接管网站。

这些缺陷已在Elementor（一个用于超过700万个网站的网站构建器插件）和WP Super Cache（用于服务WordPress网站的缓存页面的工具）中发现。

据国际知名白帽黑客、东方联盟创始人郭盛华透露：该错误与一组存储的跨站点脚本（XSS）漏洞（CVSS评分：6.4）有关，该漏洞是在将恶意脚本直接注入易受攻击的Web应用程序时发生的。

在这种情况下，由于在服务器端缺乏对HTML标记的验证，不良行为者可以利用这些问题，通过精心设计的请求将可执行JavaScript添加到帖子或页面中。

郭盛华在一份技术文章中说： “由于贡献者创建的帖子通常在发布之前由编辑或管理员进行审核，因此添加到其中一个帖子中的任何JavaScript都将在审阅者的浏览器中执行。如果管理员审阅了包含恶意JavaScript的帖子，则可以使用其具有高级别特权的经过身份验证的会话来创建新的恶意管理员，或为网站添加后门，对该漏洞的攻击可能导致网站被接管。”

发现多个HTML元素（如标题，列，手风琴，图标框和图像框）容易受到所存储的XSS攻击，从而使任何用户都可以访问Elementor编辑器并添加可执行的JavaScript。

鉴于这些缺陷利用了以下事实：可以利用模板中输入的动态数据来包含旨在发动XSS攻击的恶意脚本，因此可以通过验证输入并转义输出数据来阻止此类行为，以便HTML标记作为输入变得无害。

另外，在WP Super Cache中发现了一个经过身份验证的远程代码执行（RCE）漏洞，该漏洞可能允许攻击者上传和执行恶意代码，以期获得对该站点的控制权。据报道，该插件已在超过200万个WordPress网站上使用。

在2月23日进行负责任的披露之后，Elementor通过强化“允许在编辑器中执行更好的安全策略的选项”，修复了3月8日发布的3.1.4版本中的问题。同样，WP Super Cache背后的开发人员Automattic表示，它解决了1.7.2版中的“设置页面中经过身份验证的RCE”。

强烈建议插件的用户更新到最新版本，以减轻与漏洞相关的风险。（欢迎转载分享）