| 插件名稱 | LA-Studio 元素套件適用於 Elementor |
|---|---|
| 漏洞類型 | 後門 |
| CVE 編號 | CVE-2026-0920 |
| 緊急程度 | 嚴重 |
| CVE 發布日期 | 2026-01-21 |
| 來源 URL | CVE-2026-0920 |
LA‑Studio Element Kit for Elementor 中的關鍵後門 (CVE‑2026‑0920)
更新: 2026 年 1 月 21 日
CVE: CVE‑2026‑0920 — 插件版本 <= 1.5.6.3 存在漏洞;在 1.6.0 中修復。. 嚴重性: CVSS 9.8 (高)。攻擊向量:未經身份驗證。分類:後門 / 權限提升。.
如果您的 WordPress 網站使用 LA‑Studio Element Kit for Elementor 並運行版本 1.5.6.3 或更早版本,請將此視為緊急情況。該漏洞允許未經身份驗證的行為者通過隱藏參數創建管理用戶並獲得完整的網站控制權。請驗證版本,緊急修補,並調查是否有被攻擊的跡象。.
為什麼這麼緊急
作為一名經常為本地企業和政府網站提供建議的香港安全從業者,我強調後門是風險最高的問題之一。這個案例特別嚴重,因為:
- 它可以在未經身份驗證的情況下被利用——任何遠程行為者都可以觸發它。.
- 它允許創建管理帳戶,從而完全控制受影響的網站。.
- 後門嵌入在插件代碼中,並繞過正常的權限檢查。.
- 影響範圍包括保密性、完整性和可用性——CVSS 反映了這一點,得分很高。.
在公開披露後,攻擊者通常會掃描暴露的插件實例。快速、果斷的行動可以減少大規模妥協的機會。.
我們對漏洞的了解(摘要)
- 受影響的軟件:LA‑Studio Element Kit for Elementor(WordPress 插件)
- 易受攻擊的版本:任何版本為 1.5.6.3 或更低的版本
- 修復於:1.6.0
- 漏洞類型:後門導致未經身份驗證的特權提升(管理用戶創建)
- 向量:該插件暴露了一個未記錄的入口點,接受一個特殊參數(在公共報告中識別為
lakit_bkrole),該參數可以觸發創建具有管理權限的用戶。. - 發現:由安全研究人員報告並於 2026 年 1 月 21 日公開披露。.
- CVE:CVE‑2026‑0920
- CVSS v3.1 基本分數:9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
注意:這篇報告避免重複利用有效載荷。目標是幫助防禦者檢測、減輕和恢復。.
攻擊如何運作(高層次——以防禦者為中心)
研究人員識別了一條接受遠程輸入的代碼路徑,當被調用時,會創建或修改用戶角色分配。所提到的參數是 lakit_bkrole — 可能是為內部使用而設計,但暴露在外且檢查不足。.
遠端攻擊者可以構造一個包含此參數的 HTTP 請求,導致插件創建一個具有管理權限的新用戶。因為受影響版本的入口點缺乏身份驗證檢查,攻擊者在沒有任何先前憑證的情況下獲得完全的管理訪問權。.
後果包括:
- 完整的 WP 管理員訪問權和通過主題/插件修改文件的能力。.
- 安裝持久後門、計劃任務和惡意軟件。.
- 潛在的數據外洩(數據庫、用戶數據、憑證)。.
- 劫持電子郵件、支付、聯盟或其他業務工作流程。.
真實攻擊場景
- 大規模妥協:自動掃描和快速創建多個網站的管理用戶。.
- 定向接管:攻擊者針對高價值網站並在組織內部進行轉移。.
- 供應鏈濫用:被盜的憑證或 API 密鑰在網站之外使用。.
我是否脆弱?立即檢查
立即執行這些防禦檢查:
- 插件版本
檢查 WordPress 管理員 → 插件中的 “LA‑Studio Element Kit for Elementor”。確認版本。或使用 WP‑CLI:
wp 插件列表 --格式=表格 | grep lastudio-element-kit如果版本 <= 1.5.6.3,則您存在漏洞。.
- 新的或意外的管理員帳戶
檢查所有用戶以尋找不熟悉的管理帳戶。WP‑CLI:
wp 用戶列表 --角色=管理員 --字段=ID,user_login,user_email,display_name,registered查找最近創建的帳戶(在披露之後)。.
- 可疑的用戶和角色
檢查非標準角色或意外能力。轉儲角色:
wp eval 'print_r(get_editable_roles());' - 文件修改和可疑文件
搜索最近修改的 PHP 文件和上傳或插件目錄中的意外文件:
find /path/to/wp-content -type f -mtime -30 -name '*.php' -ls在插件文件夾中搜索指標字符串的引用:
grep -R --line-number "lakit_bkrole" wp-content/plugins/lastudio-element-kit - 日誌和訪問模式
檢查網絡服務器日誌中對插件端點的異常 POST/GET 請求,特別是那些帶有
lakit_bkrole參數的公共請求。. - 數據庫檢查
查詢最近的用戶創建:
SELECT ID,user_login,user_email,user_registered FROM wp_users WHERE user_registered > '2026-01-01' ORDER BY user_registered DESC;
如果上述任何項目顯示可疑活動,則將該網站視為潛在被妥協並進行控制和調查。.
立即緩解步驟(前 60 分鐘)
如果您確認插件已安裝或無法快速驗證,請立即採取以下行動:
- 更新 — 立即將插件升級至 1.6.0 或更高版本。這是最終的修復方案。.
- 如果無法立即更新:
- 停用插件:WP 管理員 → 插件 → 停用,或
- WP-CLI:
wp plugin deactivate lastudio-element-kit - 如果停用失敗,刪除或重新命名插件資料夾(重新命名以保留文件以供調查):
mv wp-content/plugins/lastudio-element-kit wp-content/plugins/lastudio-element-kit.bak
- 虛擬修補 / WAF 規則 — 如果您運行 WAF 或主機級過濾,請創建一條規則以阻止包含該
lakit_bkrole參數或請求插件路徑的請求,這些請求試圖更改角色。這在您更新和調查時提供臨時保護。. - 鎖定訪問 — 在可行的情況下,暫時限制管理員的 IP 訪問(伺服器控制、.htaccess、主機面板),並阻止在日誌中觀察到的可疑 IP 範圍。.
- 旋轉憑證 — 更改管理密碼(WP 管理員、主機控制面板、數據庫、FTP/SSH),並撤銷可能已暴露的 API 密鑰/令牌。.
- 檢查持久性 — 在上傳、mu-plugins 和插件/主題資料夾中搜索後門;檢查 wp-config.php 和計劃任務以查找意外條目。.
- 快照並保存 — 在進行進一步更改之前,進行完整備份(文件 + 數據庫)並保留日誌以供取證分析。.
如何清理和恢復(如果確認受到損害)
- 隔離並保存
將網站下線或啟用維護模式。保留日誌、備份和可疑文件的副本以供調查人員使用。.
- 確定範圍
清點惡意文物、新增的管理帳戶和事件時間表。確定數據暴露情況。.
- 移除後門
用來自官方來源的乾淨副本替換已修改的核心、插件和主題文件。從上傳、mu-plugins 和可寫目錄中刪除可疑文件。.
- 清理數據庫。
刪除未經授權的管理員帳戶和可疑的用戶元數據。檢查
wp_options是否存在惡意自動加載條目和計劃任務鉤子。. - 加固並恢復
重新安裝修復的插件版本(1.6.0 或更高版本)。重置所有密碼並輪換憑證。確保 WordPress 核心、主題和所有插件都是最新的。.
- 恢復後監控
啟用增強日誌記錄和完整性監控,並監控伺服器的外部連接以檢測異常活動。.
檢測與妥協的指標 (IoCs)
- 新創建的管理員帳戶與 2026 年 1 月 21 日以後相關。.
- 帶有參數的插件端點的 HTTP 請求,例如
lakit_bkrole. - 在以下位置出現意外的 PHP 文件:
wp-content/uploads/wp-content/plugins/lastudio-element-kit/wp-content/mu-plugins/
- 異常的排程事件 (wp‑cron) 或持久的 mu‑plugins。.
- 在中意外自動加載的選項
wp_options. - 從網頁伺服器到不尋常的 IP 或域的外部網路連接。.
立即的保護措施(非供應商特定)
如果您運行管理的安全或 WAF 服務,請確保它們配置為檢測並阻止針對插件路徑和參數指標的請求。對於自我管理的環境,應採用保守的規則,阻止或警報包含可疑參數並針對插件路徑的請求。在修補窗口期間調整規則以減少誤報,並密切監控警報。.
WAF / 虛擬修補指導(技術)
對於直接管理 WAF 的管理員,考慮這些防禦措施(保持規則保守以避免干擾合法的管理流量):
- 阻止或限制對插件路徑的請求(例如,,
/wp-content/plugins/lastudio-element-kit/)包含參數名稱lakit_bkrole. - 對任何導致後端變更的插件路徑請求發出警報(例如,200 響應後跟新創建的管理帳戶)。.
- 在可能的情況下,限制插件端點的允許方法和可接受的內容類型。.
示例概念性偽規則(防禦性):如果請求路徑包含 /wp-content/plugins/lastudio-element-kit/ 並且請求參數包括 lakit_bkrole 則阻止並記錄。.
加固建議(超越修補)
- 最小特權原則 — 只有在絕對必要時才授予管理角色。.
- 對所有管理帳戶強制執行多因素身份驗證。.
- 每日的離線備份,並進行版本控制和恢復測試。.
- 文件完整性監控和對關鍵文件意外變更的警報。.
- 確保 TLS 是最新的,並在可行的情況下應用適當的安全標頭。.
- 通過禁用主題和插件文件編輯
9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。:define('DISALLOW_FILE_EDIT', true); - 在可能的情況下,通過服務器控制或網絡級別限制來限制管理區域訪問。.
- 維護漏洞監控並在生產推出之前在測試環境中測試更新。.
事件響應手冊(簡明)
- 檢測:通過日誌、警報或完整性檢查識別可疑活動。.
- 控制:停用易受攻擊的插件並阻止攻擊流量。.
- 分析:保留日誌和備份;掃描文檔。.
- 根除:刪除惡意文件和帳戶;修補漏洞。.
- 恢復:恢復乾淨的系統,輪換憑證並驗證操作。.
- 事件後:進行根本原因分析,調整控制措施,並記錄經驗教訓。.
常見問題
問:我更新了插件——我還需要掃描我的網站嗎?
A:是的。更新可以防止未來的利用,但不會刪除更新之前創建的後門或帳戶。掃描和審計持久性。.
問:我可以僅依賴 WAF 而不更新嗎?
A:WAF可以提供重要的即時保護,但不能替代應用官方補丁。將虛擬修補與及時更新和驗證相結合。.
問:如果我發現可疑的管理帳戶——我應該刪除它嗎?
A:首先保留證據(導出用戶詳細信息和相關日誌)。然後禁用該帳戶(更改密碼,終止會話),如果確認為惡意,則刪除它。作為恢復的一部分,輪換其他憑證。.
問:我如何檢查找不到的隱藏後門?
A:使用多個防禦掃描器,將文件與已知良好的插件/主題包進行比較,並檢查計劃任務和數據庫鉤子。如果不確定,請尋求取證專家的幫助。.
時間表(建議的立即行動)
- 0–15分鐘:確認插件版本。如果易受攻擊,則停用或應用阻止規則。更改關鍵密碼。.
- 15–60分鐘:掃描新管理員和可疑文件。快照服務器並保留日誌。.
- 1–24小時:將插件更新到1.6.0或如果無法信任則刪除插件。清理發現的持久性。.
- 24–72小時:繼續監控,加固系統並輪換憑證。.
- 持續進行:維護漏洞掃描、監控和定期備份。.
為什麼虛擬修補和WAF對於此類事件很重要
後門通常在公開披露後幾小時內被利用。虛擬修補(在網絡/應用層阻止利用嘗試)可以為修補、調查和修復爭取關鍵時間。這是一種臨時保護措施,而不是替代更新易受攻擊代碼的替代方案。.
示例安全命令和檢查(僅限防禦)
列出已安裝的插件及版本
停用插件
列出管理員.
在插件資料夾中搜索可疑的標記(防禦性)
查找最近修改的 PHP 文件.
— 一位香港安全專家
