Elementor’da, 3.6.0 sürümünden başlayarak, bir saldırganın rastgele kod yüklemesine ve sitenin tamamını ele geçirmesine olanak tanıyan bir güvenlik açığı keşfedildi. Kusur, yeni bir “İşe Alım” sihirbazı özelliğinde uygun güvenlik politikalarının olmaması nedeniyle ortaya çıktı.
Eksik Yetenek Kontrolleri
Elementor’daki kusur, Yetenek Kontrolleri olarak bilinen şeyle ilgiliydi. Yetenek kontrolü, tüm eklenti üreticilerinin kodlamak zorunda olduğu bir güvenlik katmanıdır. Yetenek kontrolünün yaptığı, oturum açmış herhangi bir kullanıcının hangi izin düzeyine sahip olduğunu kontrol etmektir. Örneğin, abone düzeyinde izne sahip bir kişi makalelere yorum gönderebilir, ancak sitede gönderi yayınlamak için WordPress düzenleme ekranına erişim sağlayan izin düzeylerine sahip olmaz.
Kullanıcı Rolleri, her kullanıcı rolüne atanan Kullanıcı Yeteneklerini içeren her düzeyde yönetici, editör, abone vb. olabilir. Bir eklenti kod çalıştırdığında, kullanıcının bu kodu yürütmek için yeterli kapasiteye sahip olup olmadığını kontrol etmesi gerekir. WordPress, özellikle bu önemli güvenlik kontrolünü ele alan bir Eklenti El Kitabı yayınladı. Bölümün adı Kullanıcı Yeteneklerini Kontrol Etme ve eklenti üreticilerinin bu tür bir güvenlik kontrolü hakkında bilmesi gerekenleri özetliyor. WordPress el kitabı şunları önerir:
“ Kullanıcı Yeteneklerini Kontrol Etme, Eklentiniz, ister Yönetici ister Genel tarafta olsun, kullanıcıların veri göndermesine izin veriyorsa, Kullanıcı Yeteneklerini kontrol etmelidir. …Etkin bir güvenlik katmanı oluşturmanın en önemli adımı, yerinde bir kullanıcı izin sistemine sahip olmaktır. WordPress bunu Kullanıcı Rolleri ve Yetenekleri şeklinde sağlar.”
Elementor sürüm 3.6.0, yetenek kontrollerini içeremeyen yeni bir modül (Onboarding modülü) tanıttı. Bu yüzden Elementor’daki sorun, bilgisayar korsanlarının akıllı olmaları ve Elementor tabanlı web sitelerini tam bir site ele geçirmenin bir yolunu keşfetmeleri değildir. Elementor’daki istismar, olması gereken yerde yetenek kontrollerinin kullanılmamasından kaynaklanıyordu. Wordfence tarafından yayınlanan rapora göre:
“Ne yazık ki güvenlik açığı bulunan sürümlerde hiçbir yetenek kontrolü kullanılmadı. Saldırgan, sahte bir kötü amaçlı “Elementor Pro” eklenti zip dosyası oluşturabilir ve onu yüklemek için bu işlevi kullanabilir. Sahte eklentide bulunan herhangi bir kod yürütülür ve bu, siteyi ele geçirmek veya sunucudaki ek kaynaklara erişmek için kullanılabilir.”
Önerilen eylem
Güvenlik açığı, Elementor 3.6.0 sürümünde tanıtıldı ve bu nedenle ondan önceki sürümlerde mevcut değil. Wordfence, yayıncıların 3.6.3 sürümüne güncelleme yapmalarını önerir. Ancak resmi Elementor Changelog , 3.6.4 sürümünün, etkilenen Onboarding sihirbazı modülüyle ilgili temizleme sorunlarını düzelttiğini belirtir. Bu nedenle Elementor 3.6.4’e güncelleme yapmak muhtemelen iyi bir fikirdir.
