Skip to content
Menu
Beytullah Güneş
  • Ana Sayfa
  • Araçlar
    • SEO Analizi Yap
    • En Yeni SEO Analizleri
    • Domain Yaşı Sorgula
    • Google Önbellek Analiz
    • Yapılandırılmış Veri Aracı
  • Blog
    • Bilgisayar
    • Dijital Pazarlama
    • Google
    • Güvenlik
    • İnternet
    • Oyun
    • SEO
    • Sosyal Medya
    • Teknoloji ve Bilim
    • Yazılım Tasarım Kodlama
  • Hakkında
    • Hakkında
    • İletişim
    • Referanslar
    • Sıkça Sorulan Sorular
Beytullah Güneş
WordPress Elementor Eklentisinde Uzaktan Kod Yürütme Güvenlik Açığı

WordPress Elementor Eklentisinde Uzaktan Kod Yürütme Güvenlik Açığı

Yayınlanma Tarihi 18 Nisan 2022 | Kategori Güvenlik

Elementor’da, 3.6.0 sürümünden başlayarak, bir saldırganın rastgele kod yüklemesine ve sitenin tamamını ele geçirmesine olanak tanıyan bir güvenlik açığı keşfedildi. Kusur, yeni bir “İşe Alım” sihirbazı özelliğinde uygun güvenlik politikalarının olmaması nedeniyle ortaya çıktı.

Eksik Yetenek Kontrolleri

Elementor’daki kusur, Yetenek Kontrolleri olarak bilinen şeyle ilgiliydi. Yetenek kontrolü, tüm eklenti üreticilerinin kodlamak zorunda olduğu bir güvenlik katmanıdır. Yetenek kontrolünün yaptığı, oturum açmış herhangi bir kullanıcının hangi izin düzeyine sahip olduğunu kontrol etmektir. Örneğin, abone düzeyinde izne sahip bir kişi makalelere yorum gönderebilir, ancak sitede gönderi yayınlamak için WordPress düzenleme ekranına erişim sağlayan izin düzeylerine sahip olmaz.

Kullanıcı Rolleri, her kullanıcı rolüne atanan Kullanıcı Yeteneklerini içeren her düzeyde yönetici, editör, abone vb. olabilir. Bir eklenti kod çalıştırdığında, kullanıcının bu kodu yürütmek için yeterli kapasiteye sahip olup olmadığını kontrol etmesi gerekir. WordPress, özellikle bu önemli güvenlik kontrolünü ele alan bir Eklenti El Kitabı yayınladı. Bölümün adı Kullanıcı Yeteneklerini Kontrol Etme ve eklenti üreticilerinin bu tür bir güvenlik kontrolü hakkında bilmesi gerekenleri özetliyor. WordPress el kitabı şunları önerir:

“ Kullanıcı Yeteneklerini Kontrol Etme, Eklentiniz, ister Yönetici ister Genel tarafta olsun, kullanıcıların veri göndermesine izin veriyorsa, Kullanıcı Yeteneklerini kontrol etmelidir. …Etkin bir güvenlik katmanı oluşturmanın en önemli adımı, yerinde bir kullanıcı izin sistemine sahip olmaktır. WordPress bunu Kullanıcı Rolleri ve Yetenekleri şeklinde sağlar.”

Elementor sürüm 3.6.0, yetenek kontrollerini içeremeyen yeni bir modül (Onboarding modülü) tanıttı. Bu yüzden Elementor’daki sorun, bilgisayar korsanlarının akıllı olmaları ve Elementor tabanlı web sitelerini tam bir site ele geçirmenin bir yolunu keşfetmeleri değildir. Elementor’daki istismar, olması gereken yerde yetenek kontrollerinin kullanılmamasından kaynaklanıyordu. Wordfence tarafından yayınlanan rapora göre:

“Ne yazık ki güvenlik açığı bulunan sürümlerde hiçbir yetenek kontrolü kullanılmadı. Saldırgan, sahte bir kötü amaçlı “Elementor Pro” eklenti zip dosyası oluşturabilir ve onu yüklemek için bu işlevi kullanabilir. Sahte eklentide bulunan herhangi bir kod yürütülür ve bu, siteyi ele geçirmek veya sunucudaki ek kaynaklara erişmek için kullanılabilir.”

Önerilen eylem

Elementor WordPress Eklenti Değişiklik Günlüğü Ekran Görüntüsü
Elementor WordPress Eklenti Değişiklik Günlüğü Ekran Görüntüsü

Güvenlik açığı, Elementor 3.6.0 sürümünde tanıtıldı ve bu nedenle ondan önceki sürümlerde mevcut değil. Wordfence, yayıncıların 3.6.3 sürümüne güncelleme yapmalarını önerir. Ancak resmi Elementor Changelog , 3.6.4 sürümünün, etkilenen Onboarding sihirbazı modülüyle ilgili temizleme sorunlarını düzelttiğini belirtir. Bu nedenle Elementor 3.6.4’e güncelleme yapmak muhtemelen iyi bir fikirdir.

ilgili konu  WordPress Depolanmış XSS Güvenlik Açığı – Şimdi Güncelleyin
WordPress Elementor Eklentisinde Uzaktan Kod Yürütme Güvenlik Açığı
WordPress Elementor Eklentisinde Uzaktan Kod Yürütme Güvenlik Açığı
  • wordpress güvenlik açıkları
  • wordpress güvenlik eklentisi
  • wordpress güvenlik taraması

Bir cevap yazın Cevabı iptal et

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Beytullah GÜNEŞ

Beytullah GÜNEŞ

GNSNetwork Founder

beytullahgunes.com ve GNSNetwork kurucusu. Aktif olarak 2002, profesyonel olarak 2012 yılından bu yana web tasarım, geliştirme ve SEO alanında hizmet vermekte. 2019 yılından bu yana hizmetlerini GNSNetwork üzerinden sunmayı sürdürmektedir.

Yeni Neler Var?

  • Yoast SEO WordPress Erişilebilirlik Eklentisi
  • Google Arama Güncellemeleri
  • Açık Kaynak ChatGPT Klonu
  • OpenAI ChatGPT İçin Eklenti Desteği
  • WordPress Ödeme Eklentisi Güvenlik Açığı

SEO Araçları

  • SEO Analizi Yap
  • En Yeni SEO Analizleri
  • Domain Yaşı Sorgula
  • Google Önbellek Analiz
  • Yapılandırılmış Veri Aracı

Kategoriler

  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • Oyun
  • SEO
  • Sosyal Medya
  • Teknoloji ve Bilim
  • Yazılım Tasarım Kodlama

Başlıca

  • Ana Sayfa
  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • SEO

Kurumsal

  • Hakkında
  • Sıkça Sorulan Sorular
  • Kullanım Koşulları
  • Çerez Politikası
  • Gizlilik politikası
  • KVKK
  • Beytullah Güneş İletişim

Sosyal

  • Facebook
  • Twitter
  • Instagram
  • tumblr
  • Linkedin

Beytullah Güneş İletişim

[email protected]

Tuğçe Güneş | Mutfaktan Yemek Tarifi | Kullanıcı Yorumluyor | Güzel Anlamlı Sözler | Açıklanamayan Doğaüstü Olaylar

DMCA compliant image btk
GNS Network - SEO Tasarım Reklamcılık