Son günlerde, dünya genelinde 200.000’den fazla WordPress web sitesini etkileyebilecek ciddi bir güvenlik açığı keşfedildi. Royal Elementor Addons and Templates WordPress eklentisi, bu açık nedeniyle büyük bir tehlike altında. CVE-2023-5360 olarak sınıflandırılan bu güvenlik açığı, birçok web sitesinin zayıf noktası haline geldi ve saldırganlara uzaktan kod yürütme fırsatı sunuyor.
Royal Elementor eklentisi, Domain Admin yetkilerine sahip olan kullanıcıların kodlama bilgisi olmadan web siteleri oluşturmalarına yardımcı olan bir araç olarak popülerliğini kazandı. Ancak, bu eklentinin 1.3.79 sürümünden önceki sürümlerinde keşfedilen CVE-2023-5360 güvenlik açığı, yetersiz dosya türü doğrulaması nedeniyle kötü niyetli saldırganlara web sitelerine rastgele dosyalar yüklemelerine izin veriyor. Bu durum, uzaktan kod yürütme saldırılarına yol açabilir.
Siber güvenlik uzmanları, bu güvenlik açığının 3 Ekim 2023 tarihinden itibaren aktif olarak sömürüldüğünü tespit etti. Bu, Royal Elementor eklentisini kullanan web sitelerinin büyük bir risk altında olduğu anlamına geliyor.
Saldırganlar, /wpr‑addons/forms/ dizinine kötü amaçlı dosyalar bırakarak web sitelerine zarar verebiliyorlar. Sorumluların kimlikleri doğrulanmadan bu eklentiyi kullanarak dosya uzantılarını kontrol etmeleri mümkün oluyordu.
Neyse ki, bu güvenlik açığını hemen fark eden güvenlik uzmanları, geliştirici ekibi bilgilendirdi ve Royal Elementor Addons and Templates eklentisinin 1.3.79 sürümünü çıkardılar. Bu sürüm, güvenlik açığını düzeltmek için tasarlandı.
