Haberler

Elementor WordPress Eklentisindeki Zafiyet 500 Bin Web Sitesini Etkiliyor

Elementor Web sitesi oluşturucu eklentisinin yazarları, 500.000 kadar web sitesini etkileyebilecek kritik bir uzaktan kod yürütme kusurunu gidermek için 3.6.3 sürümünü yayımladı. Kusurdan yararlanmak kimlik doğrulama gerektirse de, güvenlik açığı bulunan web sitesine giriş yapan herkesin normal aboneler de dahil olmak üzere bundan yararlanabilmesi kritik önem taşıyor.Zafiyetten etkilenen bir web sitesinde normal bir kullanıcı hesabı oluşturan saldırganlar, etkilenen sitenin adını ve temasını değiştirerek tamamen farklı görünmesini sağlayabiliyor.

Araştırmacılar zafiyetin, oturum açmamış kullanıcılar için bile admin_init eylemi sırasında her istek üzerine yüklenen eklenti dosyalarından biri olan “module.php” üzerinde önemli bir erişim denetiminin olmamasından kaynaklandığını belirtiyor. admin_init eylemi tarafından tetiklenen işlevlerden biri, bir WordPress eklentisi biçiminde dosya yüklemeye izin veriyor. Bir saldırgan uzaktan kod yürütülmesini sağlamak için kötü amaçlı bir dosya yerleştirebiliyor.

WordPress istatistikleri, Elementor kullanıcılarının yaklaşık %30,7’sinin 3.6.x sürümüne geçtiğini bildiriyor; bu da, potansiyel olarak etkilenen maksimum site sayısının kabaca 1.500.000 olduğunu gösteriyor. Eklenti bugün bir milyondan biraz fazla indirildi. Hepsinin 3.6.3 için olduğunu varsayarsak, hala yaklaşık 500.000 savunmasız web sitesi olduğu ortada. En son sürüm , “current_user_can” WordPress işlevini kullanarak nonce erişim üzerinde ek bir kontrol uygulandığını gösteriyor.

Uzmanlar, Elementor WordPress eklentisi için mevcut olan en son güncellemeyi uygulamaları veya eklentiyi web sitenizden tamamen kaldırmalarını öneriyor.

Kaynak: bleepingcomputer.com

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu