Elementor için Temel EklentilerBir milyondan fazla aktif yüklemeye sahip bir eklenti olan 5.7.2 sürümündeki, kişiliği doğrulanmamış bir yükseltme güvenlik açığını yamaladı. Güvenlik açığı 8 Mayıs 2023'te keşfedildi ve Patchstack araştırmacısı Rafie Muhammad tarafından bildirildi. 9,8 (Kritik şiddet) CVSS 3,1 puan verilmiş ve henüz büyümekte olan bir kuruluştur.
Muhammed güvenlik açığını özetledi: güvenlik danışmanlığı bugün yayınlandı:
Bu eklenti, doğru yapısı olmayan bir ayrıcalıklı genişleme güvenlik açığından muzdariptir ve kimliği doğrulanmamış herhangi bir kişinin, ayrıcalıklarını WordPress sitesindeki herhangi bir kişinin ayrıcalıklarına yükseltmesine izin verir.
Kullanıcının hafızasında kaldığı süre boyunca herhangi bir bilginin şifresini değiştirmek mümkündür, böylece yöneticinin şifresini sıfırlayabilir ve hesaba giriş yapılabilir. Bu güvenlik açığı, bu parolanın silinmesi, parolanın değiştirilmesi anahtarının devam etmesi ve bunun yerine belirli bir kullanıcının parolasını doğrudan değiştirmesi nedeniyle oluşur.
Eklentinin yazarları yamayı bugün, 11 Mayıs'ta, değişiklik protokolünde aşağıdaki notla birlikte yayınlandılar:
5.7.2 – 11/05/2023
Geliştirilmiş: EA Giriş/Kayıt Formu için Güvenlik İyileştirmesi
Birkaç küçük hata düzeltmesi ve uygulanması
Güvenlik açıkları, Essential Addons for Elementor'un 5.4.0 ila 5.7.1 sürümlerini kullanan siteler mevcut. Kullanıcıların Patchstack'ın artık en son sürümü olan 5.7.2'ye güncelleme yapmaları tavsiye edilir. yayınlanan onu kullanmak için para birimlerinin kullanılması.