Beş milyondan fazla aktif kuruluma sahip bir WordPress web sitesi oluşturucu eklentisi olan Elementor’un, etkilenen web sitelerini devralmak için kötüye kullanılabilecek kimliği doğrulanmış bir uzaktan kod yürütme kusuruna karşı savunmasız olduğu bulundu.
Eklenti Güvenlik Açıkları, ifşa kusur geçen hafta, hatanın 22 Mart 2022’de yayınlanan 3.6.0 sürümünde tanıtıldığını söyledi. kullanıcıların %37’si eklentinin bir kısmı 3.6.x sürümündedir.
Araştırmacılar, “Bu, saldırgan tarafından sağlanan kötü amaçlı kodun web sitesi tarafından çalıştırılabileceği anlamına geliyor” dedi. “Bu durumda, güvenlik açığı WordPress’te oturum açmamış biri tarafından kullanılabilir, ancak WordPress’te oturum açmış ve WordPress yönetici panosuna erişimi olan herkes tarafından kolayca kullanılabilir.”
Özetle, sorun, potansiyel olarak kod yürütülmesine yol açan, etkilenen web sitelerine rastgele dosya yükleme durumuyla ilgilidir.
Hata, Patchstack ile Elementor’un en son sürümünde giderildi. not etmek “Bu güvenlik açığı, yetkileri ne olursa olsun, kimliği doğrulanmış herhangi bir kullanıcının site başlığını, site logosunu değiştirmesine, temayı Elementor temasıyla değiştirmesine ve hepsinden kötüsü siteye rastgele dosyalar yüklemesine izin verebilir.”
Açıklama, Elementor için Temel Eklentilerin, güvenliği ihlal edilmiş web sitelerinde rastgele kod yürütülmesine neden olabilecek kritik bir güvenlik açığı içerdiğinin tespit edilmesinden iki aydan fazla bir süre sonra geldi.