Yaklaşık 12 milyon WordPress sitesinde kullanılan site oluşturma eklentisi Elementor Pro’da çıkan bir güvenlik açığı, bilinmeyen saldırganlar tarafından aktif olarak kullanılmaya başlandı.

Broken Access Control olarak bilinen zafiyet, 3.1.1.6 ve öncesi eklenti sürümlerini etkiliyor. Geliştiriciler 22 Mart’ta yayınladıkları 3.11.7 sürümünde güvenlik açığını kapatmış olsalar da yamalanmamış birçok web sitesi olduğu söyleniyor.

Oldukça riskli olarak kabul edilen bu güvenlik açığı, saldırganların herhangi bir kullanıcı bilgisine sahip olmadan veya kimlik doğrulaması yapmasına gerek kalmadan WooCommerce kurulu WordPress sitelerini ele geçirmesine imkan tanımakta.

WordPress güvenliği üzerine uzmanlaşmış şirketlerden PatchStack tarafından yapılan açıklamaya göre, saldırganlar zafiyeti exploit ederek bir kayıt sayfası açabiliyor ve ilgili kayıt sayfasından yönetici rolüne sahip hesaplar oluşturma imkanına sahip oluyor. Bundan sonra ise genellikle daha fazla sistemi etkileyebilmek için sunuculara çeşitli arka kapılar yükleyebiliyorlar.

Saldırılardan korunmak için ilgili eklentiyi kullananların bir an önce Elementor Pro ve WooCommerce güncellemelerini yapmaları gerektiğini belirtelim.

Technopat