Elementor için WordPress eklentisi Essentials Addon’un bir milyondan fazla kurulumu var. BT araştırmacıları, ağdaki kayıtlı olmayan saldırganların bir WordPress örneğini tamamen tehlikeye atmasına olanak tanıyan kritik bir güvenlik açığı keşfetti. Eklentinin güncellenmiş bir sürümü mevcut.
Sürüm 5.7.2, Elementor kullanıcılarının hızlı bir şekilde yüklemesi gereken Essential Addons for Elementor web sitesinde artık mevcuttur. Güvenlik açığı, önceden kimlik doğrulaması yapılmadan sistemdeki ayrıcalıkların yükseltilmesine izin verir (CVE-2023-32243, CVSS 9.8risk “kritik“). 5.4.0’dan 5.7.1 dahil olmak üzere eklenti sürümlerinde bulunur.
Essential Addons for Elementor’da kritik güvenlik açığı
Patchstack’in BT araştırmacıları, analizlerinde, bu eklentinin, kimliği doğrulanmamış herhangi bir kullanıcının haklarını WordPress sitesinin herhangi bir kullanıcısının haklarına yükseltmesine izin veren bir güvenlik açığı olduğunu açıklıyor.
Bu nedenle, kullanıcı adı bilindiği sürece herhangi bir kullanıcının şifresini sıfırlamak mümkündür. Saldırganlar yönetici parolasını sıfırlayabilir ve hesaplarında oturum açabilir. Güvenlik açığı, parola sıfırlama işlevinin ilişkili bir anahtarı doğrulamaması ve bunun yerine söz konusu kullanıcının parolasını doğrudan değiştirmesi nedeniyle ortaya çıkıyor, patchstack personeli daha fazla açıklıyor.
Analizde, BT araştırmacıları ayrıntılara giriyor ve güvenlik açığını kod parçacıklarıyla birlikte tartışıyor. Eklentinin geliştiricileri açığı üç gün içinde kapattı: araştırmacılar Pazartesi günü bildirdi ve güncellenmiş eklenti Perşembe günü hazırdı. Güvenlik açığı bulunan bir WordPress kurulumuna sahip BT yöneticileri, güncellemeyi mümkün olan en kısa sürede yüklemelidir.
Nisan ayının başında, WordPress eklentisi Elementor Pro’da yüksek riskli olarak sınıflandırılan bir güvenlik açığı, saldırganlar tarafından aktif olarak kullanıldı. Bu, onlara WordPress web sitelerine yönetici erişimi sağladı.
(dmk)
Haberin Sonu
Sürüm 5.7.2, Elementor kullanıcılarının hızlı bir şekilde yüklemesi gereken Essential Addons for Elementor web sitesinde artık mevcuttur. Güvenlik açığı, önceden kimlik doğrulaması yapılmadan sistemdeki ayrıcalıkların yükseltilmesine izin verir (CVE-2023-32243, CVSS 9.8risk “kritik“). 5.4.0’dan 5.7.1 dahil olmak üzere eklenti sürümlerinde bulunur.
Essential Addons for Elementor’da kritik güvenlik açığı
Patchstack’in BT araştırmacıları, analizlerinde, bu eklentinin, kimliği doğrulanmamış herhangi bir kullanıcının haklarını WordPress sitesinin herhangi bir kullanıcısının haklarına yükseltmesine izin veren bir güvenlik açığı olduğunu açıklıyor.
Bu nedenle, kullanıcı adı bilindiği sürece herhangi bir kullanıcının şifresini sıfırlamak mümkündür. Saldırganlar yönetici parolasını sıfırlayabilir ve hesaplarında oturum açabilir. Güvenlik açığı, parola sıfırlama işlevinin ilişkili bir anahtarı doğrulamaması ve bunun yerine söz konusu kullanıcının parolasını doğrudan değiştirmesi nedeniyle ortaya çıkıyor, patchstack personeli daha fazla açıklıyor.
Analizde, BT araştırmacıları ayrıntılara giriyor ve güvenlik açığını kod parçacıklarıyla birlikte tartışıyor. Eklentinin geliştiricileri açığı üç gün içinde kapattı: araştırmacılar Pazartesi günü bildirdi ve güncellenmiş eklenti Perşembe günü hazırdı. Güvenlik açığı bulunan bir WordPress kurulumuna sahip BT yöneticileri, güncellemeyi mümkün olan en kısa sürede yüklemelidir.
Nisan ayının başında, WordPress eklentisi Elementor Pro’da yüksek riskli olarak sınıflandırılan bir güvenlik açığı, saldırganlar tarafından aktif olarak kullanıldı. Bu, onlara WordPress web sitelerine yönetici erişimi sağladı.
(dmk)
Haberin Sonu