WordPress 社区近日遭遇一起严重安全事件:在 LA-Studio Element Kit for Elementor 插件中发现了一个后门漏洞。该插件在超过 20,000 个网站上运行。漏洞编号为 CVE-2026-0920,CVSS 评分高达 9.8(严重),允许未授权攻击者立即创建管理员账号,从而完全接管受影响网站。
但与普通编码错误导致的漏洞不同,这个漏洞似乎是蓄意破坏行为。
漏洞被发现后,插件厂商做出了令人震惊的承认:恶意代码是由前员工植入的。
“厂商在回应我们的询问时表示,一名前雇员将后门代码添加到了插件中。”Wordfence 的报告指出。时间点非常关键:该开发者在 12 月底离职,而 “对后门的最后一次修改正是在那个时候”,这表明代码是在其离职前不久被改动的。
后门被隐藏在插件的用户注册处理逻辑中。技术分析显示,
ajax_register_handle() 函数包含 “将管理员权限添加到新用户的混淆代码”。攻击者只需发送一个包含特定参数
lakit_bkrole 的注册请求即可触发该后门。代码被刻意混淆以避免被发现。研究人员指出:“特别值得注意的是,该功能明显经过混淆处理,这似乎是为了逃避检测。”此次事件的后果极其严重。“一旦攻击者获得 WordPress 网站的管理员权限,他们就能像普通管理员一样操纵目标网站上的任何内容。” 包括上传恶意文件、注入垃圾内容或将访问者重定向到危险网站。
目前已在野外检测到攻击活动。Wordfence 在过去 24 小时内就拦截了 216 次针对该漏洞的攻击。
在 2026 年 1 月 13 日收到 Wordfence 的通知后,LA-Studio 团队迅速采取行动,于次日发布了补丁。
用户被敦促立即升级到 1.6.0 版本以移除后门。这一事件为科技公司敲响了警钟:“它提醒我们必须重视内部威胁,并在员工离职时确保有适当的控制和检查机制。”
发表评论
您还未登录,请先登录。
登录