Popüler WordPress Tüm dünyada bir milyondan fazla web sitesi tarafından kullanılan eklentinin, potansiyel kötü niyetli aktörlerin yerel bir dosya dahil etme saldırısı gerçekleştirmesine izin veren kritik bir uzaktan kod yürütme (RCE) kusuru taşıdığı tespit edildi.
Cbersecurity araştırmacısı Wai Yan Muo Thet, 25 Ocak 2022’de Essential Addons for Elementor eklentisindeki güvenlik açığını keşfetti ve aynı gün Patchstack’e bildirdi.
Söz konusu eklentinin sahibi olan WPDeveloper, güvenlik açığının zaten farkındaydı ve sorunu çözmek için şimdiden iki başarısız girişimde bulundu.
sorunu düzeltme
PatchStack, “Yerel dosya ekleme güvenlik açığı, PHP’nin ajax_load_more ve ajax_eael_product_gallery işlevlerinin bir parçası olan içerme işlevi içinde kullanıcı girdi verilerinin kullanılma biçiminden kaynaklanmaktadır,” dedi.
Savunmasız sitenin ihtiyacı olan tek şey, “dinamik galeri” ve “ürün galerisi” widget’larının etkinleştirilmesidir, diye ekledi.
Sürüm 5.0.3 ve 5.0.4’ün her ikisi de sorunu çözmeye çalıştı ve sonunda 5.0.5 sürümünde çözüldü. Şu anda, yaklaşık 400.000 web sitesi eklentiyi yükseltti, yani yaklaşık 600.000 web sitesi hala savunmasız durumda.
Essential Addons for Elementor çalıştıranların sorunu çözmek için iki yolu vardır: ya bu bağlantıdan en son sürümü indirmek ya da WordPress panosuna gidip güncellemeyi doğrudan oradan tetiklemek.
WordPress eklentileri, son aylarda büyük güvenlik açıklarına saldıran bilgisayar korsanları için popüler hedefler olduğunu kanıtladı. Kasım 2021’de araştırmacılar, WooCommerce için Önizleme E-postaları eklentisinde bir web sitesi devralma hatası buldular, Aralık 2021’de ise popüler WPS Girişi Gizle eklentisindeki bir güvenlik açığı, saldırganların bir sitenin yönetici giriş sayfasına erişmesine izin verebilirdi.
İyi haber şu ki, eklenti sahipleri, güvenlik açıkları ortaya çıktığında genellikle hızlı tepki veriyor. Çalışan web yöneticileri WordPress siteleri Saldırı riskini en aza indirmek için tüm eklentilerini her zaman güncel tutmaları önerilir.
Üzerinden: BleeBilgisayar