| 插件名称 | LA-Studio 元素工具包用于 Elementor |
|---|---|
| 漏洞类型 | 后门 |
| CVE 编号 | CVE-2026-0920 |
| 紧急程度 | 严重 |
| CVE 发布日期 | 2026-01-21 |
| 来源网址 | CVE-2026-0920 |
LA‑Studio Element Kit for Elementor 中的关键后门 (CVE‑2026‑0920)
更新: 2026年1月21日
CVE: CVE‑2026‑0920 — 插件版本 <= 1.5.6.3 存在漏洞;在 1.6.0 中修复。. 严重性: CVSS 9.8(高)。攻击向量:未认证。分类:后门 / 权限提升。.
如果您的 WordPress 网站使用 LA‑Studio Element Kit for Elementor 并运行版本 1.5.6.3 或更早版本,请将此视为紧急情况。该漏洞允许未认证的攻击者通过隐藏参数创建管理员用户并获得完整的网站控制权。请验证版本,紧急修补,并调查是否有被攻破的迹象。.
为什么这如此紧急
作为一名经常为本地企业和政府网站提供建议的香港安全从业者,我强调后门是最高风险问题之一。此案例特别严重,因为:
- 它可以在没有认证的情况下被利用 — 任何远程攻击者都可以触发它。.
- 它允许创建管理员账户,给予对受影响网站的完全控制权。.
- 后门嵌入在插件代码中,绕过正常的权限检查。.
- 影响范围包括机密性、完整性和可用性 — CVSS 反映了这一点,得分很高。.
在公开披露后,攻击者通常会扫描暴露的插件实例。快速、果断的行动可以减少大规模被攻破的机会。.
我们对该漏洞的了解(摘要)
- 受影响的软件:LA‑Studio Element Kit for Elementor(WordPress 插件)
- 易受攻击的版本:任何版本在 1.5.6.3 或更低
- 在:1.6.0 中修复
- 漏洞类型:后门导致未经身份验证的权限提升(管理员用户创建)
- 向量:该插件暴露了一个未记录的入口点,接受一个特殊参数(在公开报告中识别为
lakit_bkrole),可以触发创建具有管理权限的用户。. - 发现:由安全研究人员报告,并于2026年1月21日公开披露。.
- CVE:CVE‑2026‑0920
- CVSS v3.1 基础分数:9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
注意:此报告避免重现利用有效载荷。目标是帮助防御者检测、缓解和恢复。.
攻击如何工作(高层次 — 防御者关注)
研究人员识别出一个接受远程输入的代码路径,并在调用时创建或修改用户角色分配。引用的参数是 lakit_bkrole — 可能是为了内部使用,但被暴露且检查不足。.
远程攻击者可以构造一个包含此参数的HTTP请求,导致插件创建一个具有管理权限的新用户。由于受影响版本的入口点缺乏身份验证检查,攻击者可以在没有任何先前凭据的情况下获得完全的管理访问权限。.
后果包括:
- 完整的WP管理员访问权限和通过主题/插件修改文件的能力。.
- 安装持久后门、定时任务和恶意软件。.
- 潜在的数据外泄(数据库、用户数据、凭据)。.
- 劫持电子邮件、支付、联盟或其他业务工作流程。.
真实攻击场景
- 大规模妥协:在多个站点上进行自动扫描和快速创建管理员用户。.
- 定向接管:攻击者针对高价值站点并在组织内部进行横向移动。.
- 供应链滥用:被盗的凭据或API密钥在站点之外使用。.
我是否易受攻击?立即检查
立即执行这些防御检查:
- 插件版本
检查 WordPress 管理员 → 插件中是否有“LA‑Studio Element Kit for Elementor”。确认版本。或者使用 WP‑CLI:
wp 插件列表 --format=table | grep lastudio-element-kit如果版本 <= 1.5.6.3,您处于脆弱状态。.
- 新的或意外的管理员账户
检查所有用户以查找不熟悉的管理员账户。WP‑CLI:
wp 用户列表 --role=administrator --fields=ID,user_login,user_email,display_name,registered查找最近创建的账户(在披露日期或之后)。.
- 可疑用户和角色
检查非标准角色或意外权限。转储角色:
wp eval 'print_r(get_editable_roles());' - 文件修改和可疑文件
搜索最近修改的 PHP 文件和上传或插件目录中的意外文件:
find /path/to/wp-content -type f -mtime -30 -name '*.php' -ls在插件文件夹中搜索指示字符串的引用:
grep -R --line-number "lakit_bkrole" wp-content/plugins/lastudio-element-kit - 日志和访问模式
检查 web 服务器日志中对插件端点的异常 POST/GET 请求,特别是那些带有
lakit_bkrole参数的存储型跨站脚本(XSS)。. - 数据库检查
查询最近的用户创建:
SELECT ID,user_login,user_email,user_registered FROM wp_users WHERE user_registered > '2026-01-01' ORDER BY user_registered DESC;
如果上述任何内容表明可疑活动,请将网站视为可能被攻陷,并进行遏制和调查。.
立即缓解步骤(前60分钟)
如果您确认插件已安装或无法快速验证,请立即采取以下措施:
- 更新 — 立即将插件升级到1.6.0或更高版本。这是最终修复。.
- 如果无法立即更新:
- 禁用插件:WP Admin → 插件 → 禁用,或
- WP‑CLI:
wp 插件停用 lastudio-element-kit - 如果禁用失败,请删除或重命名插件文件夹(重命名以保留文件以供调查):
mv wp-content/plugins/lastudio-element-kit wp-content/plugins/lastudio-element-kit.bak
- 虚拟补丁 / WAF 规则 — 如果您运营WAF或主机级过滤,请创建规则以阻止包含该
lakit_bkrole参数或请求插件路径的请求,这些请求试图更改角色。这在您更新和调查时提供临时保护。. - 限制访问 — 在可行的情况下,临时按IP限制管理员访问(服务器控制,.htaccess,托管面板),并阻止在日志中观察到的可疑IP范围。.
- 更换凭据 — 更改管理密码(WP Admin,托管控制面板,数据库,FTP/SSH),并撤销可能已暴露的API密钥/令牌。.
- 检查持久性 — 在上传、mu-plugins和插件/主题文件夹中搜索后门;检查wp-config.php和计划任务以查找意外条目。.
- 快照并保存 — 进行完整备份(文件 + 数据库),并在进行进一步更改之前保留日志以供法医分析。.
如何清理和恢复(如果确认被攻陷)
- 隔离和保存
将网站下线或启用维护模式。保留日志、备份和可疑文件的副本以供调查人员使用。.
- 确定范围
清点恶意工件、新增的管理员账户和事件时间线。确定数据暴露情况。.
- 移除后门
1. 用来自官方来源的干净副本替换修改过的核心、插件和主题文件。删除上传、mu-plugins 和可写目录中的可疑文件。.
- 2. 清理数据库
3. 删除未经授权的管理员账户和可疑用户元数据。检查
wp_options4. 恶意自动加载条目和定时任务。. - 5. 加固和恢复
6. 重新安装修复后的插件版本(1.6.0 或更高版本)。重置所有密码并更换凭据。确保 WordPress 核心、主题和所有插件都是最新的。.
- 7. 恢复后监控
8. 启用增强的日志记录和完整性监控,并监控服务器的出站连接以发现异常活动。.
9. 检测与妥协的指标(IoCs)
- 10. 新创建的管理员账户与 2026 年 1 月 21 日及之后相关。.
- 11. 带有参数的插件端点的 HTTP 请求,例如
lakit_bkrole. - 12. wp-content/plugins/lastudio-element-kit/ 中的意外 PHP 文件
wp-content/uploads/13. 异常的计划事件(wp-cron)或持久的 mu-plugins。wp-content/mu-plugins/
- 14. 意外的自动加载选项在.
- 15. 从 Web 服务器到不寻常的 IP 或域的出站网络连接。
wp_options. - 16. 立即采取保护措施(非供应商特定).
17. 如果您运行托管安全或 WAF 服务,请确保它们配置为检测和阻止针对插件路径和参数指示的请求。对于自我管理的环境,应用保守的规则,阻止或警报包含可疑参数并针对插件路径的请求。在补丁窗口期间调整规则以减少误报,并密切监控警报。
18. WAF / 虚拟补丁指导(技术).
19. 对于直接管理 WAF 的管理员,请考虑这些防御措施(保持规则保守,以避免干扰合法的管理员流量):
对于直接管理 WAF 的管理员,请考虑这些防御措施(保持规则保守,以避免干扰合法的管理员流量):
- 阻止或限制对插件路径的请求(例如,,
/wp-content/plugins/lastudio-element-kit/)包含参数名称lakit_bkrole. - 对任何导致后端更改的插件路径请求发出警报(例如,200 响应后跟新创建的管理员帐户)。.
- 在可能的情况下限制插件端点的允许方法和可接受的内容类型。.
示例概念伪规则(防御性):如果请求路径包含 /wp-content/plugins/lastudio-element-kit/ 并且请求参数包括 lakit_bkrole 则阻止并记录。.
加固建议(超出补丁)
- 最小权限原则 — 仅在严格必要时授予管理员角色。.
- 对所有管理员帐户强制实施多因素身份验证。.
- 每日离线备份,带版本控制和恢复测试。.
- 文件完整性监控,并对关键文件的意外更改发出警报。.
- 确保 TLS 是最新的,并在可行的情况下应用适当的安全头。.
- 通过禁用主题和插件文件编辑
wp-config.php:define('DISALLOW_FILE_EDIT', true); - 在可能的情况下通过服务器控制或网络级限制限制管理员区域访问。.
- 维护漏洞监控,并在生产发布前在暂存环境中测试更新。.
事件响应手册(简明)
- 检测:通过日志、警报或完整性检查识别可疑活动。.
- 控制:停用易受攻击的插件并阻止攻击流量。.
- 分析:保留日志和备份;扫描工件。.
- 根除:移除恶意文件和账户;修补漏洞。.
- 恢复:恢复干净的系统,轮换凭证并验证操作。.
- 事件后:进行根本原因分析,调整控制措施,并记录经验教训。.
常见问题
问:我更新了插件——我还需要扫描我的网站吗?
答:是的。更新可以防止未来的利用,但不会移除更新之前创建的后门或账户。扫描并审计以确保持久性。.
问:我可以仅依赖WAF而不更新吗?
答:WAF可以提供重要的即时保护,但不能替代应用官方补丁。将虚拟补丁与及时更新和验证结合使用。.
问:如果我发现一个可疑的管理员账户——我应该删除它吗?
答:首先保留证据(导出用户详细信息和相关日志)。然后禁用该账户(更改密码,终止会话),如果确认是恶意的,则删除它。作为恢复的一部分,轮换其他凭证。.
问:我如何检查找不到的隐藏后门?
答:使用多个防御扫描器,将文件与已知良好的插件/主题包进行比较,并检查计划任务和数据库钩子。如果不确定,请聘请法医专家。.
时间表(推荐的立即行动)
- 0–15分钟:确认插件版本。如果存在漏洞,停用或应用阻止规则。更改关键密码。.
- 15–60分钟:扫描新管理员和可疑文件。快照服务器并保留日志。.
- 1–24小时:将插件更新到1.6.0,或如果无法信任则移除插件。清理发现的持久性。.
- 24–72小时:继续监控,强化系统并轮换凭证。.
- 持续进行:保持漏洞扫描、监控和定期备份。.
为什么虚拟补丁和WAF在此类事件中很重要
后门通常在公开披露后的几个小时内被利用。虚拟补丁(在网络/应用层阻止利用尝试)可以为修补、调查和补救争取关键时间。这是一种临时保护措施,而不是替代更新易受攻击代码的替代方案。.
示例安全命令和检查(仅限防御)
列出已安装的插件及版本
禁用插件
列出管理员.
在插件文件夹中搜索可疑令牌(防御性)
查找最近修改的 PHP 文件.
— 一位香港安全专家
