HackerNews 编译，转载请注明出处： Elementor建站工具配套插件RomethemeKit曝出严重安全漏洞，该漏洞允许远程代码执行（RCE），目前已在1.5.5版本中完成修复。这款拥有超3万活跃安装量的插件主要用于为Elementor用户提供模板、部件和图标包，简化缺乏编程经验用户的建站流程。 网络安全公司Patchstack研究发现，旧版本中的install_requirements函数因缺少权限验证和非随机数（nonce）检查，使得任何已认证用户（包括仅具备订阅者权限的低权账户）均可利用此漏洞安装并激活任意插件。恶意插件一旦激活，攻击者即可远程执行任意代码。...