Elementor是一款流行的轻量级WordPress页面构建插件，它有免费版和Pro版本可供选择，具有现代、简洁的编辑方式，使用户可以无需代码便能自己构建网页。Elementor 3.6.0版本引入了一个新功能来简化插件设置，不过最近被发现它可能存在远程代码执行的漏洞。

本次发现的这个安全漏洞可以被有权访问WordPress管理仪表板的经过身份验证的攻击者利用，包括最普通权限的用户，另外它也可能被未登录的威胁参与者使用。该漏洞似乎使攻击者能够通过更改名称、徽标、图像和主题等元素来完全改变目标站点的外观。

Elementor插件文件 “module.php” 缺乏关键的访问权限检查，导致该文件在admin_init Hook的每个请求中都被加载，即使没有登录的用户，也是如此。如果admin_init根据请求的调用了upload_and_install_pro() 函数，该函数将安装随请求发送的WordPress插件，攻击者就可以将恶意文件放在里面以实现远程代码执行。

目前Elementor 3.6.0、3.6.1、3.6.2版本都比较容易受攻击，为了安全起见，建议大家立即升级至最新的插件版本来修复这一安全问题。

如果我们使用的是经过优化的WordPress主机托管网站，那么系统会提示更新Elementor插件版本以修复漏洞，以保证网站安全性。