آسیب پذیری اجرای کد از راه دور افزونه وردپرس Elementor

یک آسیب‌پذیری در Elementor کشف شد که با نسخه 3.6.0 شروع می‌شود، که به مهاجم اجازه می‌دهد کد دلخواه را آپلود کند و تصرف کامل سایت را انجام دهد. این نقص از طریق فقدان سیاست‌های امنیتی مناسب در ویژگی جدید جادوگر «Onboarding» معرفی شد.

بررسی های قابلیت از دست رفته

نقص Elementor مربوط به چیزی بود که به عنوان بررسی قابلیت ها شناخته می شود.

بررسی قابلیت یک لایه امنیتی است که همه سازندگان افزونه موظف به کدنویسی هستند. کاری که بررسی قابلیت انجام می دهد این است که بررسی می کند هر کاربری که وارد شده است چه سطح مجوزی دارد.

به عنوان مثال، شخصی با مجوز سطح مشترک ممکن است بتواند نظرات خود را برای مقالات ارسال کند، اما سطوح مجوزی که به آنها اجازه دسترسی به صفحه ویرایش وردپرس را برای انتشار پست‌ها در سایت می‌دهد، نخواهد داشت.

نقش‌های کاربر می‌توانند مدیر، ویرایشگر، مشترک و غیره باشند که هر سطح شامل قابلیت‌های کاربر است که به هر نقش کاربر اختصاص داده می‌شود.

هنگامی که یک افزونه کد را اجرا می کند، قرار است بررسی کند که آیا کاربر توانایی کافی برای اجرای آن کد را دارد یا خیر.

وردپرس یک کتابچه راهنمای پلاگین منتشر کرد که به طور خاص به این بررسی امنیتی مهم می پردازد.

فصل بررسی قابلیت‌های کاربر نام دارد و آنچه را که سازندگان افزونه‌ها باید در مورد این نوع بررسی امنیتی بدانند، تشریح می‌کند.

کتاب راهنمای وردپرس توصیه می کند:

بررسی قابلیت های کاربر

اگر افزونه شما به کاربران اجازه می‌دهد داده‌ها را ارسال کنند – چه در سمت مدیریت یا عمومی – باید قابلیت‌های کاربر را بررسی کند.

…مهمترین مرحله در ایجاد یک لایه امنیتی کارآمد، وجود یک سیستم مجوز کاربر است. وردپرس این را در قالب نقش ها و قابلیت های کاربر ارائه می دهد.

Elementor نسخه 3.6.0 یک ماژول جدید (ماژول Onboarding) معرفی کرد که شامل بررسی قابلیت ها نشد.

بنابراین مشکل Elementor این نیست که هکرها باهوش بودند و راهی برای کنترل کامل سایت از وب سایت های مبتنی بر Elementor کشف کردند.

سوء استفاده در Elementor به دلیل عدم استفاده از بررسی قابلیت ها در جایی که قرار بود انجام شود بود.

بر اساس گزارش منتشر شده توسط Wordfence:

“متاسفانه هیچ بررسی قابلیتی در نسخه های آسیب پذیر استفاده نشده است.

یک مهاجم می‌تواند یک زیپ پلاگین مخرب جعلی «Elementor Pro» بسازد و از این تابع برای نصب آن استفاده کند.

هر کدی که در افزونه جعلی وجود داشته باشد، اجرا می‌شود، که می‌تواند برای تسخیر سایت یا دسترسی به منابع اضافی روی سرور استفاده شود.»

عمل پیشنهاد شده

این آسیب پذیری در Elementor نسخه 3.6.0 معرفی شد و بنابراین در نسخه های قبل از آن وجود ندارد.

Wordfence توصیه می کند که ناشران به نسخه 3.6.3 به روز رسانی کنند.

با این حال، Elementor Changelog رسمی بیان می‌کند که نسخه 3.6.4 مشکلات بهداشتی مربوط به ماژول جادوگر Onboarding آسیب‌دیده را برطرف می‌کند.

بنابراین احتمالاً ایده خوبی است که به Elementor 3.6.4 به روز رسانی کنید.

اسکرین شات تغییرات پلاگین وردپرس Elementor

اسکرین شات تغییرات پلاگین وردپرس Elementor

نقل قول

گزارش Wordfence در مورد آسیب پذیری Elementor را بخوانید

آسیب پذیری حیاتی اجرای کد از راه دور در Elementor