Sömürü, satıcı bir yama yayınlamadan önce gözlemlendiğinden, kusur hackerlar tarafından sıfır gün olarak kaldırıldı.
'WP Royal' tarafından Royal Elementor eklentileri ve şablonları, bilgiyi kodlamadan web öğelerinin hızlı bir şekilde oluşturulmasına izin veren bir web sitesi oluşturma kitidir. WordPress.org'a göre, 200.000'den fazla aktif kurulumu var.
Eklentiyi etkileyen kusur CVE-2023-5360 (CVSS v3.1: 9.8 "kritik") olarak izlenir ve bu da kimlik doğrulanmamış saldırganların savunmasız sitelerde keyfi dosya yüklemeleri gerçekleştirmesine izin verir.
Eklenti, yüklemeleri yalnızca belirli, izin verilen dosya türleriyle sınırlamak için bir uzantı doğrulaması içerse de, kimlik doğrulanmamış kullanıcılar 'izin verilen listeyi' dörizasyon ve kontrolleri atlamak için manipüle edebilir.
Saldırganlar, bu dosya yükleme adımı aracılığıyla potansiyel olarak uzaktan kod yürütülmesini sağlayabilir ve tam bir web sitesi uzlaşmasına yol açabilir.
Kusurla ilgili ek teknik detaylar, yaygın sömürü önlemek için saklanmıştır.
İki WordPress güvenlik firması olan WordFence ve WPSCAN (Automattic), CVE-2023-5360'ı 30 Ağustos 2023'ten beri aktif olarak sömürüldü ve saldırı hacmi 3 Ekim 2023'ten başlayarak arttı.
WordFence, geçtiğimiz ay Royal Elementor'ı hedefleyen 46.000'den fazla saldırıyı engellediğini bildirirken, WPSCan, kusurdan yararlandıktan sonra on farklı yük düşüren 889 saldırgan vakası kaydetti.
Bu saldırılarda kullanılan yüklerin çoğu, 'WordPress_Administrator' adlı bir WordPress Yöneticisi kullanıcısı oluşturmaya veya arka kapı olarak hareket etmeye çalışan PHP komut dosyalarıdır.
WordPress, saldırıların çoğunun sadece iki IP adresinden kaynaklandığını söylüyor, bu nedenle istismar sadece bir avuç tehdit aktörüyle biliniyor.
Eklentinin satıcısına 3 Ekim'deki tüm ayrıntılarla temasa geçildi ve Kusur'u düzeltmek için 6 Ekim 2023'te Royal Elementor Eklentileri ve Şablonları sürüm 1.3.79 sürümünü yayınladı. Eklentinin tüm kullanıcılarının bu sürüme mümkün olan en kısa sürede yükseltilmesi önerilir.
Herhangi bir ticari tarama çözümüne erişiminiz yoksa, web sitenizin saldırılara duyarlılığını belirlemek için bu ücretsiz tarayıcıyı kullanabilirsiniz.
Eklentiyi 1.3.79 sürümüne güncellemenin enfeksiyonları otomatik olarak kaldırmayacağını veya kötü amaçlı dosyaları silmediğini unutmayın, böylece bu gibi durumlarda bir web sitesi temizliği gerekecektir.
IOS XE Zero-Day saldırılarında 10.000'den fazla Cisco cihazı hacklendi
Yeni WordPress Backdoor, web sitelerini ele geçirmek için Rogue Yöneticisi oluşturur
Microsoft: Eylül ayından bu yana Confluence Zero Day'den yararlanan eyalet hackerları
Apple Acil Durum Güncellemesi, iPhone'ları hacklemek için kullanılan yeni sıfır günü düzeltiyor
Geçen ay Balada enjektör saldırılarında hacklenen 17.000'den fazla WordPress sitesi
Kaynak: Bleeping Computer