Ugroženo milion WordPress stranica
Sigurnosni istraživači su otkrili da je ugroženo milion WordPress stranica koji upotrebljavaju Essential dodatak za Elementor WordPress.
Ranjivost
Sa preko milion instalacija, dodatak Essential za Elementor proširuju osnovne mogućnosti Elementor dodatka za WordPress. Uočena ranjivost u ovom dodatku je označena CVE-2023-32243 (sa CVSS ocjenom 9.8) i označena je kao kritična ranjivost koja omogućava neovlaštenu zloupotrebu privilegija koja može napadaču omogućiti da preuzme bilo koji korisnički nalog. Smatra se da je ova ranjivost prisutna od verzije 5.4.0 ovog dodatka.
“Moguće je resetovati lozinku bilo kog korisnika sve dok znamo njegovo korisničko ime i tako možemo resetovati lozinku administratora i prijaviti se na njihov nalog.”
Ovo može biti ozbiljan problem, jer se ova ranjivost može iskoristiti za resetovanje lozinke administratorskog naloga, što zlonamjernim napadačima može omogućiti potpunu kontrolu nad mrežnom lokacijom. Ranjivost je otkrivena 8. maja i autor dodatka je odmah upoznat sa njom, tako da je 11. maja objavljena verzija 5.7.2 koja ispravlja ovu ranjivost.
Otklanjanje ranjivosti
Autor dodatka je, prema dostupnim informacijama, adekvatno izvršio ispravljanje ranjivosti dodajući funkciju koja vrši provjeru i legitimnost ključeva za resetovanje lozinke. Korisnicima se preporučuje da što prije preuzmu ažuriranu verziju Essential dodatka za Elementor verziju 5.7.2.
Koliko je ovo ozbiljan problem govori i podatak kompanije Defiant koja razvija sigurnosni dodatak Wordfence za WordPress:
“Wordfence je blokirao 151 napad usmjeren na ovu ranjivost u posljednja 24 sata.”
– Defiant –