WordPress için Elementor Web Sitesi Oluşturucu eklentisinin yazarları, 500.000 kadar web sitesini etkileyebilecek kritik bir uzaktan kod yürütme kusurunu gidermek için 3.6.3 sürümünü yayımladı.
Kusurdan yararlanmak kimlik doğrulama gerektirse de, güvenlik açığı bulunan web sitesine giriş yapan herkesin normal aboneler de dahil olmak üzere bundan yararlanabilmesi kritik önemdedir.
Etkilenen bir web sitesinde normal bir kullanıcı hesabı oluşturan bir tehdit aktörü, etkilenen sitenin adını ve temasını değiştirerek tamamen farklı görünmesini sağlayabilir.
Güvenlik araştırmacıları, oturum açmamış bir kullanıcının Elementor eklentisindeki yakın zamanda düzeltilen kusurdan da yararlanabileceğine inanıyor, ancak bu senaryoyu doğrulamadılar.
Güvenlik açığı ayrıntıları
WordPress güvenlik hizmeti Eklenti Güvenlik Açıkları’ndaki araştırmacılar tarafından bu hafta yayınlanan ve güvenlik açığını bulan bir raporda, sorunun arkasındaki teknik ayrıntılar Elementor’da açıklanıyor.
Sorun, eklentinin dosyalarından biri olan “module.php” üzerinde önemli bir erişim denetiminin olmamasıdır. admin_init Araştırmacılar, oturum açmamış kullanıcılar için bile eylem olduğunu açıklıyor.
“Bulduğumuz RCE güvenlik açığı, önceki işlev aracılığıyla erişilebilen upload_and_install_pro() işlevini içeriyor. Bu işlev, istekle birlikte gönderilen bir WordPress eklentisini yükleyecektir” – Eklenti Güvenlik Açıkları
tarafından tetiklenen işlevlerden biri admin_init eylem, bir WordPress eklentisi biçiminde dosya yüklemeye izin verir. Bir tehdit aktörü, uzaktan kod yürütülmesini sağlamak için kötü amaçlı bir dosya yerleştirebilir.
Araştırmacılar, mevcut tek kısıtlamanın geçerli bir nonce’ye erişim olduğunu söylüyor. Ancak, ilgili nonce’nin “Abone rolüne sahip bir kullanıcı olarak oturum açtığınızda dahil edilen ‘elementorCommonConfig’i başlatan WordPress yönetici sayfalarının kaynak kodunda” bulunduğunu buldular.
Darbe ve sabitleme
Eklenti Güvenlik Açıklarına göre, sorun 22 Mart 2022’de yayınlanan Elementor 3.6.0 ile tanıtıldı.
WordPress istatistikleri, Elementor kullanıcılarının yaklaşık %30,7’sinin 3.6.x sürümüne geçtiğini bildiriyor; bu da, potansiyel olarak etkilenen maksimum site sayısının kabaca 1.500.000 olduğunu gösteriyor.
Eklenti bugün bir milyondan biraz fazla indirildi. Hepsinin 3.6.3 için olduğunu varsayarsak, hala orada yaklaşık 500.000 savunmasız web sitesi olmalı.
En son sürüm şunları içerir: bir taahhüt “current_user_can” WordPress işlevini kullanarak nonce erişim üzerinde ek bir kontrol uygular.
Bunun güvenlik açığını gidermesi gerekirken, araştırmacılar düzeltmeyi henüz doğrulamadı ve Elementor ekibi yama hakkında herhangi bir ayrıntı yayınlamadı.
BleepingComputer, Elementor’un güvenlik ekibine ulaştı ve bir yanıt alır almaz bu makaleyi güncelleyecektir.
Eklenti Güvenlik Açıkları ayrıca, istismar edilebilirliği kanıtlamak için bir kavram kanıtı (PoC) yayınladı ve savunmasız web sitelerinin tehlikeye atılması riskini artırdı.
Yöneticilerin, Elementor WordPress eklentisi için mevcut olan en son güncellemeyi uygulamaları veya eklentiyi web sitenizden tamamen kaldırmaları önerilir.