Royal Elementor Eklentilerini ve 1.3.78 sürümüne kadar Şablonları etkileyen kritik önemdeki bir güvenlik açığının, iki WordPress güvenlik ekibi tarafından aktif olarak kullanıldığı bildirildi.
Bu istismar, satıcı bir yama yayınlamadan önce gözlemlendiğinden, bu kusur bilgisayar korsanları tarafından sıfır gün olarak kullanıldı.
‘WP Royal’ Royal Elementor Eklentileri ve Şablonları, kodlama bilgisi olmadan web öğelerinin hızlı bir şekilde oluşturulmasına olanak tanıyan bir web sitesi oluşturma kitidir. WordPress.org’a göre 200.000’den fazla aktif kurulumu var.
Eklentiyi etkileyen kusur, CVE-2023-5360 (CVSS v3.1: 9.8 “kritik”) olarak izleniyor ve kimliği doğrulanmamış saldırganların savunmasız sitelere rastgele dosya yüklemeleri yapmasına olanak tanıyor.
Eklenti, yüklemeleri yalnızca belirli, izin verilen dosya türleriyle sınırlamak için bir uzantı doğrulama özelliğine sahip olsa da, kimliği doğrulanmamış kullanıcılar, temizleme ve kontrolleri atlamak için ‘izin verilenler listesini’ değiştirebilir.
Saldırganlar, bu dosya yükleme adımını kullanarak potansiyel olarak uzaktan kod yürütmeyi başarabilir ve bu da web sitesinin tamamen ele geçirilmesine yol açabilir.
Yaygın kullanımı önlemek için kusurla ilgili ek teknik ayrıntılar gizlendi.
Hileli yönetici hesapları oluşturmak için istismar edildi
İki WordPress güvenlik firması, Wordfence ve WPScan (Automattic), CVE-2023-5360’ı 30 Ağustos 2023’ten bu yana aktif olarak istismar edildiğini ve saldırı hacminin 3 Ekim 2023’ten itibaren artacağını belirtti.
Wordfence, geçen ay Royal Elementor’u hedef alan 46.000’den fazla saldırıyı engellediğini bildirirken, WPScan, kusurdan yararlandıktan sonra on farklı veri yükünü düşüren 889 saldırgan vakası kaydetti.
Bu saldırılarda kullanılan yüklerin çoğu, ‘wordpress_administrator’ adında bir WordPress yönetici kullanıcısı oluşturmaya çalışan veya arka kapı görevi gören PHP komut dosyalarıdır.
WordPress, saldırıların çoğunluğunun yalnızca iki IP adresinden kaynaklandığını, dolayısıyla istismarın yalnızca bir avuç tehdit aktörü tarafından bilinebileceğini söylüyor.
Eklentinin satıcısıyla 3 Ekim’de tüm ayrıntılar için iletişime geçildi ve kusuru düzeltmek için 6 Ekim 2023’te Royal Elementor Addons and Templates 1.3.79 sürümünü yayınladı. Eklentiyi kullanan tüm kullanıcıların mümkün olan en kısa sürede bu sürüme yükseltmeleri önerilir.
Herhangi bir ticari tarama çözümüne erişiminiz yoksa, web sitenizin saldırılara karşı duyarlılığını belirlemek için bu ücretsiz tarayıcıyı kullanabilirsiniz.
Eklentiyi 1.3.79 sürümüne güncellemenin bulaşmaları otomatik olarak ortadan kaldırmayacağını veya kötü amaçlı dosyaları silmeyeceğini, bu nedenle bu gibi durumlarda bir web sitesi temizliğinin gerekli olacağını unutmayın.