ABD hükümeti Ulusal Güvenlik Açığı Veritabanı (NVD), Metform Elementor İletişim Formu Oluşturucu WordPress eklentisini etkileyen, hassas bilgilerin sızdırılmasına neden olabilecek bir güvenlik açığı hakkında bir danışma belgesi yayınladı.
WordPress için Metform Elementor İletişim Formu Oluşturucu
Metform Elementor İletişim Formu oluşturucusu, 200.000’den fazla kurulumla popüler Elementor sayfa oluşturucu eklentisine eklenen üçüncü taraf bir eklentidir.
Çok adımlı formlar da dahil olmak üzere iletişim formları oluşturmayı kolaylaştıran bir sürükle ve bırak arayüzü sunar.
Elementor için Metform iletişim formu oluşturucu WordPress eklentisi, kodlama becerisine sahip olmayan yeni başlayanların anket formları, iletişim formları, yönlendirme geri bildirim formları oluşturmasına olanak tanır ve ayrıca bir kullanıcının İnternet bağlantısını kaybederse veya yeniden kazanırsa forma geri dönebilmesi için bir formu kaydedebilir.
Resmi WordPress eklenti deposuna göre:
“WordPress’in sürükle ve bırak iletişim formu oluşturucusu MetForm, Elementor için bir eklentidir; sürükle ve bırak esnekliğiyle hızlı ve güvenli iletişim formlarını anında oluşturun.
Birden fazla iletişim formunu yönetebilir ve çok adımlı formu bir Elementor oluşturucuyla özelleştirebilirsiniz.”
Bilgi İfşası Güvenlik Açığı
Bu güvenlik açığı, saldırganın hassas bilgileri ele geçirmesine olanak tanır.
Bu güvenlik açığı, bir saldırganın abone düzeyinde veya daha yüksek bir kullanıcı rolü edinmesini gerektirdiğinden NVD tarafından orta düzeyde bir tehdit olarak derecelendirilmiştir.
Abone düzeyindeki bir kullanıcı rolü, istismarı etkinleştirmek için nispeten düşük bir çubuktur çünkü elde edilmesi yönetici veya editör düzeyindeki bir kullanıcı rolüne göre daha kolaydır.
Bir saldırganın saldırı başlatabilmesi için yalnızca bir web sitesine abone olması yeterlidir.
Elementor’un web sitesi abone kullanıcı rolünü açıklar:
“Bir WordPress abonesi, yalnızca profilini düzenleyebilen, gönderileri okuyabilen ve yorum bırakabilen bir site kullanıcısıdır.
WordPress, bir site sahibinin, kullanıcıların site içinde hangi görevleri (yetenekleri) yapıp yapamayacağını kontrol etmesini ve yönetmesini sağlamak için ‘roller’ kavramını kullanır.
Abone, en az izne sahip en düşük kullanıcı rolü düzeyidir.”
Böylece bir saldırgan siteyi hacklemeye en düşük seviye kullanıcı rolüyle başlayabilir.
NVD tehdidi anlatıyor:
“WordPress için Metform Elementor İletişim Formu Oluşturucu, 3.3.1’e kadar olan sürümlerde ‘mf_first_name’ kısa kodu aracılığıyla Bilgi İfşasına karşı savunmasızdır.
Bu, abone düzeyi veya üzeri yeteneklere sahip kimliği doğrulanmış saldırganların, gönderenin adı da dahil olmak üzere rastgele form gönderimleri hakkında hassas bilgiler elde etmesine olanak tanır.”
Saldırı Tehditini Azaltmak İçin Eklentiyi Güncelleyin
Bu güvenlik açığı Metform Elementor İletişim Formu Oluşturucu eklentisinin 3.3.1’e kadar olan sürümlerini etkiler.
Eklentinin en güncel sürümü 3.4.0’dır.
Metform Elementor İletişim Formu Oluşturucu Sürüm 3.3.2, güvenlik açığını gideren sürümdür.
Göre resmi Metform Elementor İletişim Formu Oluşturucu Değişiklik Günlüğü:
“Sürüm 3.3.2
…Geliştirildi: Güvenlik, tek seferlik ve yetkilendirme kontrolü.”
Resmi NVD tavsiyesini okuyun: