Yaklaşık 12 milyon WordPress sitesinde kullanılan site oluşturma eklentisi Elementor Pro’da çıkan bir güvenlik açığı, bilinmeyen saldırganlar tarafından faal olarak kullanılmaya başlandı.
Broken Access Control olarak bilinen zafiyet, 3.1.1.6 ve öncesi eklenti sürümlerini etkiliyor. Geliştiriciler 22 Mart’ta yayınladıkları 3.11.7 sürümünde güvenlik açığını kapatmış olsalar da yamalanmamış birçok web sitesi olduğu söyleniyor.
Oldukça riskli olarak kabul edilen bu güvenlik açığı, saldırganların rastgele bir kullanıcı bilgisine sahip olmadan yahut kimlik doğrulaması yapmasına gerek kalmadan WooCommerce konseyi WordPress sitelerini ele geçirmesine imkan tanımakta.
WordPress güvenliği üzerine uzmanlaşmış şirketlerden PatchStack tarafından yapılan açıklamaya göre, saldırganlar zafiyeti exploit ederek bir kayıt sayfası açabiliyor ve ilgili kayıt sayfasından yönetici rolüne sahip hesaplar oluşturma imkanına sahip oluyor. Bundan sonra ise çoklukla daha fazla sistemi etkileyebilmek için sunuculara çeşitli art kapılar yükleyebiliyorlar.
Saldırılardan korunmak için ilgili eklentiyi kullananların bir an evvel Elementor Pro ve WooCommerce güncellemelerini yapmaları gerektiğini belirtelim.
