press-elements 是wordpress一个比较流行的插件,但因为某种原因,该插件已经于2021年停止更新,今天ptsfense 在日常的安全检测中发现了这个插件一个致命的漏洞,插件中使用了过时的Freemius库,该库在2019年的时候已经爆出致命漏洞,使用低级别的用户可以随意更改网站的设置,该漏洞全网首发,以下为英文版说明:The plugin is using an outdated version of the Freemius library (1.2.3), which is known to be affected by a security issue allowing any authenticated users, such as subscriber to set arbitrary blog options
具体信息已经于第一时间发于patchstack.com,他们会及时和插件作者及wordpress插队联系以解决该问题,等他们确认漏洞后,我会把更多的细节放上来。