Dikkat, WordPress yöneticileri! Plus Addons for Elementor eklentisinde kritik bir sıfır gün hatası vardı. Geliştiriciler düzeltmeyi yayınladığından, web sitelerinizi en erken 4.1.7 eklenti sürümüyle güncellediğinizden emin olun.
Elementor için Artı Eklentilerinde Sıfır Gün Hatası
Savunmasız WordPress eklentilerini takip eden güvenlik ekibi Wordfence, başka bir eklentide ciddi bir güvenlik açığı buldu. Bu sefer, WordPress eklentisi Plus Addons for Elementor’u etkileyen kritik bir sıfır gün güvenlik açığı bildirdiler.
Onların değinildiği gibi yazı, araştırmacılar Elementor üzerinde kullanıcı girişi ve kayıt için bir widget ekleyerek izin verdiğini eklenti işlevinde ayrıcalık yükselmesi güvenlik açığı bulundu. Bu nedenle, hata bir hackerin hedef web sitelerinde yönetici hesapları oluşturmasına izin verdi.
Ne yazık ki, bu işlevsellik yanlış yapılandırılmış ve saldırganların yönetici kullanıcı olarak kaydolmasına veya mevcut bir yönetici kullanıcı olarak oturum açmasına izin vermiş.
Eklenti ile oluşturulmuş aktif bir oturum açma veya kayıt sayfanız olmasa bile bu güvenlik açığından yine de yararlanılabileceği unutulmamalıdır. Bu, bu eklentiyi çalıştıran herhangi bir sitenin güvenlik ihlaline açık olduğu anlamına gelir.
Güvenlik açığı CVE Kimliği CVE-2021-24175’i ve CVSS 9,8 puanını aldı.
Yama Çıktı
Son zamanlarda hatayı keşfettikten sonra, Wordfence eklenti geliştiricilerine ulaştı. Buna cevaben, geliştirici ekip ilk olarak 4.1.6 sürümüyle kısmen uyguladıkları ve ardından 4.1.7 eklenti sürümüyle birlikte tam bir yama uyguladıkları bir düzeltme üzerinde çalışmaya başladı.
Plus Addons for Elementor eklentisi şu anda 30.000’den fazla kullanıma sahip. Bu, güvenlik açığının küresel olarak binlerce web sitesinin güvenliğini potansiyel olarak tehdit ettiği anlamına geliyor. Bu nedenle, bu eklentiyi kullanan tüm site yöneticileri, web sitelerini en erken en son eklenti sürümüyle güncellediklerinden emin olmalıdır.
Özellikle, bu güvenlik açığı yalnızca premium eklenti sürümünü etkiledi. Ücretsiz sürümü olan The Plus Addons for Elementor Page Builder Lite, bu hatadan etkilenmedi.
Kaynak : latesthackingnews.com
İlk Yorumu Siz Yapın