一 漏洞概述

2020年5月16日，WordPress出现了一个代码漏洞。该漏洞至少自2020年5月5日起被利用。WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。Elementor Pro是使用在其中的一个网页构建器插件。
WordPress Elementor Pro 2.9.4之前版本中存在安全漏洞。远程攻击者可利用该漏洞上传任意的可执行文件，进而执行任意代码。注意：免费的Elementor插件不受影响。

二 影响版本

WordPress Elementor Pro 2.9.4之前的版本。

三 复现过程

无

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “WordPress” 进行搜索，共得到 6,922,055条 IP 历史记录，主要分布在美国等国家。

五 修复建议

更新这些插件至最新版本（Elementor Pro2.9.4版，Elementor Ultimate Addons 1.24.2版）。

六 相关链接

Wordfence：https://www.wordfence.com/blog/2020/05/combined-attack-on-elementor-pro-and-ultimate-addons-for-elementor-puts-1-million-sites-at-risk/

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult/report?q=app%3A%22WordPress%22