Elementor için WordPress eklentisi Essentials eklentisinin bir milyondan fazla kurulumu var. BT araştırmacıları, ağdaki kayıtlı olmayan saldırganların bir WordPress örneğini tamamen tehlikeye atmasına olanak tanıyan kritik bir güvenlik açığı keşfetti. Eklentinin güncellenmiş bir sürümü mevcut.
Sürüm 5.7.2, artık Elementor kullanıcılarının hızlı bir şekilde yüklemesi gereken temel eklentileri eklenti web sitesinde bulabilirsiniz. Güvenlik açığı, önceden kimlik doğrulaması yapılmadan sistemde ayrıcalık yükseltmeye izin verir (CVE-2023-32243, CVSS 9.8risk”eleştirmen“). 5.4.0’dan 5.7.1’e kadar (dahil) eklenti sürümlerinde bulunur.
Essential Addons for Elementor’da kritik güvenlik açığı
Patchstack BT araştırmacıları, analizlerinde, bu eklentinin, kimliği doğrulanmamış herhangi bir kullanıcının haklarını WordPress sitesinin herhangi bir kullanıcısının haklarını artırmasına izin veren bir güvenlik açığına sahip olduğunu açıklıyor.
Daha sonra, kullanıcı adını bildiğiniz sürece herhangi bir kullanıcının şifresini sıfırlayabilirsiniz. Saldırganlar, yönetici parolasını sıfırlayabilir ve hesaplarına erişim sağlayabilir. Güvenlik açığı, parola sıfırlama özelliğinin ilişkili bir anahtarı doğrulayamaması ve bunun yerine etkilenen kullanıcının parolasını doğrudan değiştirmesi nedeniyle ortaya çıkıyor, patchstack personeli daha fazla açıklıyor.
Analizde, BT araştırmacıları ayrıntılara giriyor ve güvenlik açığını kod parçacıklarıyla birlikte tartışıyor. Eklenti geliştiricileri açığı üç günde kapattı: Araştırmacılar bunu Pazartesi günü bildirdi ve güncellenen eklenti Perşembe günü hazırdı. Güvenlik açığı bulunan bir WordPress kurulumuna sahip BT yöneticileri, güncellemeyi mümkün olan en kısa sürede yüklemelidir.
Nisan ayı başlarında, WordPress eklentisi Elementor Pro’da yüksek riskli olarak sınıflandırılan bir güvenlik açığı, saldırganlar tarafından aktif olarak kullanıldı. Bu, onlara WordPress web sitelerine yönetici erişimi sağladı.
(dmk)
Haberin Sonu
Sürüm 5.7.2, artık Elementor kullanıcılarının hızlı bir şekilde yüklemesi gereken temel eklentileri eklenti web sitesinde bulabilirsiniz. Güvenlik açığı, önceden kimlik doğrulaması yapılmadan sistemde ayrıcalık yükseltmeye izin verir (CVE-2023-32243, CVSS 9.8risk”eleştirmen“). 5.4.0’dan 5.7.1’e kadar (dahil) eklenti sürümlerinde bulunur.
Essential Addons for Elementor’da kritik güvenlik açığı
Patchstack BT araştırmacıları, analizlerinde, bu eklentinin, kimliği doğrulanmamış herhangi bir kullanıcının haklarını WordPress sitesinin herhangi bir kullanıcısının haklarını artırmasına izin veren bir güvenlik açığına sahip olduğunu açıklıyor.
Daha sonra, kullanıcı adını bildiğiniz sürece herhangi bir kullanıcının şifresini sıfırlayabilirsiniz. Saldırganlar, yönetici parolasını sıfırlayabilir ve hesaplarına erişim sağlayabilir. Güvenlik açığı, parola sıfırlama özelliğinin ilişkili bir anahtarı doğrulayamaması ve bunun yerine etkilenen kullanıcının parolasını doğrudan değiştirmesi nedeniyle ortaya çıkıyor, patchstack personeli daha fazla açıklıyor.
Analizde, BT araştırmacıları ayrıntılara giriyor ve güvenlik açığını kod parçacıklarıyla birlikte tartışıyor. Eklenti geliştiricileri açığı üç günde kapattı: Araştırmacılar bunu Pazartesi günü bildirdi ve güncellenen eklenti Perşembe günü hazırdı. Güvenlik açığı bulunan bir WordPress kurulumuna sahip BT yöneticileri, güncellemeyi mümkün olan en kısa sürede yüklemelidir.
Nisan ayı başlarında, WordPress eklentisi Elementor Pro’da yüksek riskli olarak sınıflandırılan bir güvenlik açığı, saldırganlar tarafından aktif olarak kullanıldı. Bu, onlara WordPress web sitelerine yönetici erişimi sağladı.
(dmk)
Haberin Sonu