WordPress tarafından desteklenen potansiyel olarak onlarca ve hatta yüz binlerce web sitesi, Elementor için Essential Addons adlı yaygın olarak kullanılan bir eklentideki uzaktan kod yürütme (RCE) hatası yoluyla saldırılara karşı savunmasızdır.
Eklenti, dünya çapında 1 milyondan fazla kuruluma sahiptir ve web sitesi sahiplerinin WordPress için Elementor sayfa oluşturucu kullanılarak oluşturulan sayfalara çeşitli özelleştirmeler eklemesine izin vermek için tasarlanmıştır.
Bağımsız bir güvenlik araştırmacısı, yakın zamanda Elementor için Essential Addons'un 5.0.4 ve daha düşük sürümlerinde kusuru keşfetti ve sorunu eklentinin geliştiricisine bildirdi. Geliştirici daha sonra güvenlik açığı için bir düzeltme içeren güncellenmiş bir sürüm yayınladı. Ancak bir WordPress eklenti güvenlik satıcısı olan PatchStack'teki araştırmacılar, yamayı test etti ve kusurlu olduğunu buldu. Bunu geliştiriciye bildirdiler ve başka bir sürüm - bu, işe yarayan bir düzeltmeyle - 28 Ocak'ta yayınlandı.
Bir blog gönderisinde Yama Yığını Güvenlik açığı, herhangi bir kullanıcıya - kimlik doğrulama veya yetkilendirme durumlarından bağımsız olarak - Elementor eklentisinin savunmasız bir sürümüne sahip bir sitede yerel dosya dahil etme adı verilen bir saldırı gerçekleştirmenin bir yolunu verdiğini söyledi. Güvenlik açığı, kötü amaçlı PHP kodu içeren dosyalar gibi yerel dosyaları web sitesinin dosya sistemine dahil etmek için kullanılabilir ve bunlar daha sonra uzaktan çalıştırılabilir.
PatchStack'e göre, güvenlik açığı, belirli işlevler çağrıldığında eklentinin kullanıcı giriş verilerini işleme biçimiyle ilgilidir. Bu nedenle, güvenlik açığı yalnızca bu işlevleri kullanan widget'lar kullanıldığında ortaya çıkar.
K2 Cyber Security'nin CEO'su ve kurucu ortağı Pravin Madhani, yerel dosya ekleme (LFI) saldırılarını bir Web uygulamasının belirli dosyaları bir Web sunucusunda çalıştırması için bir teknik olarak tanımlıyor. Madhani, "Genellikle, bir uygulama bir dosyanın yolunu girdi olarak kullandığında LFI oluşur" diyor. "Uygulama bu girdiyi güvenilir olarak değerlendirirse, include ifadesinde yerel bir dosya kullanılabilir."
Daha Fazla WordPress Güvenlik Sorunu
WordPress web sitelerinin operatörleri için en son kusur, yıllar boyunca uğraşmak zorunda kaldıkları uzun bir güvenlik açıkları listesindeki en son kusurdur. Sorunların çoğu, platform için eklentilerle ilgiliydi. Örneğin Ocak ayında, başka bir WordPress güvenlik sağlayıcısı olan Wordfence, keşfedildiğini bildirdi WordPress için üç ayrı eklentide aynı güvenlik açığı. Sorun 84,000 web sitesini etkiledi.
Aralık ayında araştırmacılar JetPack All in One SEO adlı bir WordPress eklentisinde kimliği doğrulanmış bir ayrıcalık yükseltme hatası (CVE-2021-25036) ve bir kimlik doğrulama SQL enjeksiyon hatası (CVE-2021-25037) olmak üzere iki güvenlik açığı bildirdi. Güvenlik açıkları, ilk ortaya çıktıklarında yaklaşık 3 milyon web sitesini etkiledi. Wordfence'in bir başka güvenlik açığı Kasım ayında açıklandı, bu sefer Başlangıç Şablonları — Elementor, Gutenberg ve Beaver Builder Şablonları adlı bir eklentide yaklaşık 1 milyon web sitesini etkiledi.
Madhani, kuruluşların bazı temel en iyi uygulamaları uygulayarak bu tehditlere maruz kalmalarını azaltabileceğini söylüyor.
Bunlar, WordPress uygulamalarını güncel tutma ve uygun şekilde yama yapma ihtiyacını içerir. Kuruluşların ayrıca yalnızca aktif olarak kullandıkları eklentileri tutmaları ve eklentilerin de güncel tutulmasını ve yama yapılmasını sağlamaları gerekir. Çok katmanlı güvenlik kontrollerine sahip olmanın da kritik olduğunu söylüyor.
Bunun ideal olarak uç güvenliği, çalışma zamanı uygulama güvenliğini ve sunucu güvenliğini içermesi gerektiğini söylüyor. Örnek olarak Web uygulaması güvenlik duvarlarına, çalışma zamanı uygulama güvenlik kontrolüne ve uç nokta algılama ve yanıt teknolojilerine işaret ediyor.
Madhani, "Araçlarınız tarafından bildirilen olaylar hakkında güncel bilgi edinin ve özellikle kritik güvenlik olayları olmak üzere raporları düzenli olarak takip edin." “WordPress siteniz için iyi şifre kurallarınız ve şifre güvenliğiniz (MFA gibi) olduğundan emin olun.”
- Akıllı para. Avrupa'nın En İyi Bitcoin ve Kripto Borsası.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. SERBEST ERİŞİM.
- KriptoHawk. Altcoin Radarı. Ücretsiz deneme.
- Kaynak: https://www.darkreading.com/vulnerabilities-threats/tens-of-thousands-of-websites-vulnerable-to-rce-flaw-in-wordpress-plugin
