تم العثور على خطأ فادح في مكون WordPress الإضافي لـ Elementor مع أكثر من مليون تثبيت
تم العثور على المكون الاضافي لي WordPress الذي يحتوي على أكثر من مليون عملية تثبيت عن طريق ثغرة امنية قد تؤدي إلى تنفيذ تعليمات برمجية عشوائية على مواقع الويب المخترقة.
المكون الإضافي المعني هو
Essential Addons for Elementor
والذي يزود مالكي مواقع WordPress بمكتبة تضم أكثر من 80 عنصرًا وإضافات للمساعدة في تصميم الصفحات والمنشورات وتخصيصها.
قال Patchstack في تقرير : "تسمح هذه الثغرة الأمنية لأي مستخدم ، بغض النظر عن حالة المصادقة أو التفويض الخاصة به ، بتنفيذ هجوم تضمين ملف محلي" . "يمكن استخدام هذا الهجوم لحقن ملفات محلية على نظام ملفات موقع الويب ، مثل / etc / passwd. ويمكن أيضًا استخدام هذا لأداء RCE من خلال حقن ملف برمز PHP ضار لا يمكن تنفيذه عادةً."
النسخ الاحتياطية التلقائية على GitHub
ومع ذلك ، لا توجد الثغرة الأمنية إلا إذا تم استخدام عناصر واجهة مستخدم مثل المعرض الديناميكي ومعرض المنتج ، والتي تستخدم الوظيفة الضعيفة ، مما يؤدي إلى حقن ملف محلي - وهي تقنية هجوم يتم فيها خداع تطبيق ويب لكشف أو تشغيل ملفات عشوائية على خادم الويب.
يؤثر الخلل على جميع إصدارات الملحق بدءًا من 5.0.4 وما بعده ، ويعود الفضل في اكتشاف الثغرة الأمنية للباحث Wai Yan Myo Thet. بعد الكشف المسؤول ، تم أخيرًا سد الثغرة الأمنية في الإصدار 5.0.5 الذي تم إصداره في 28 يناير "بعد عدة تصحيحات ."
يأتي هذا التطوير بعد أسابيع من ظهور أن جهات فاعلة غير معروفة تلاعبت بالعشرات من سمات WordPress والمكونات الإضافية المستضافة على موقع ويب أحد المطورين لحقن باب خلفي بهدف إصابة المزيد من المواقع.