Divi WordPress Teması Güvenlik Açığı

Divi WordPress Teması Güvenlik Açığı

Elegant Themes Divi ve Extra Themes ile Divi Builder WordPress eklentisinde bulunan kritik güvenlik açığı.

WordFence araştırmacıları, Elegant Themes Divi ve Extra temalarında ve Divi Builder eklentisinde bir güvenlik açığı keşfetti. Güvenlik açığı, bir saldırganın bir siteyi tamamen ele geçirmesine olanak tanır.

Divi Builder Eklentisi, bir kullanıcının Divi oluşturucu işlevini herhangi bir üçüncü taraf temasında kullanmasına izin veren bağımsız bir eklentidir.

Zarif Temalar Divi ve Ekstra temalar, yerleşik oluşturucu işlevine sahiptir.

Güvenlik açığı, her üç üründe de oluşturucu işlevselliğinde keşfedilen bir kusurdan kaynaklanmaktadır.

Zarif Temaların Güvenlik Açığı Nedir

Elegant Themes istismarı, yayınlama veya düzenleme ayrıcalıklarına sahip bir kullanıcının kötü amaçlı dosyaları yüklemesine izin veren bir Divi özelliğindeki güvenlik açığından yararlanır. Bir saldırganın, saldırıyı başlatmak için öncelikle bu ayrıcalık düzeylerine sahip kayıtlı bir kullanıcıyı tehlikeye atması gerekir.

Güvenlik açığı, Divi'deki taşınabilirlik özelliğini etkiler. Bu, düzenleyici, katkıda bulunan veya yazar düzeyinde kimlik bilgilerine sahip bir kullanıcının sayfa şablonlarını içe veya dışa aktarmasına izin veren bir özelliktir.

Kötü niyetli bir saldırganın daha sonra tüm siteyi ele geçirmek için kullanılabilecek PHP dosyalarını yüklemesine izin veren belirli bir denetimden yoksun olan bu özelliktir.

Güvenlik Açığının WordFence Açıklaması

WordFence, güvenlik sorunlarına karşı koruma sağlayan bir WordPress güvenlik eklentisi sunar. Servisleri, güvenlik açıklarını bulmak için WordPress eklentilerini test etmeyi içerir.

Premium eklentilerinin kullanıcıları, keşfedildikçe güvenlik sorunlarına karşı korunur.

WordFence, güvenlik açığının web sitelerini nasıl etkilediğini açıklar:

"Bu kusur, kimliği doğrulanmış saldırganların JavaScript istemci tarafı denetimini kolayca atlamasını ve kötü amaçlı PHP dosyalarını hedeflenen bir web sitesine yüklemesini mümkün kıldı. Bir saldırgan, bir siteyi tamamen ele geçirmek için bu yöntemle yüklenen kötü amaçlı bir dosyayı kolayca kullanabilir. 

Güvenlik Açığı Üzerine Zarif Temalar Bildirimi

Elegant Themes'in duyurusunda " güvenilmez kullanıcılara " atıfta bulunulmasına rağmen , bu saldırı, parolası zayıf olan veya hesabı başka bir şekilde tehlikeye atılan güvenilir kullanıcıların başına gelebilir.

Zarif Temalara Göre:

"Kurucuya Divi sürüm 3.0 ve üzeri, Extra 2.0 ve üzeri veya Divi Builder sürüm 2.0 ve üzeri kullanan, potansiyel olarak güvenilmez kullanıcıları olan her web sitesi etkilenir ve en son ürün sürümlerine güncellenmelidir.

4.5.3 ürün sürümleri güvenlik düzeltme ekini içerir. "

Etkilenen Şık Temalar Ürünleri için Yayınlanan Güvenlik Yaması

Güvenlik açığı 23 Temmuz 2020'de WordFence araştırmacıları tarafından keşfedildi. Güvenlik yaması test edildi ve son olarak 3 Ağustos 2020'de yayınlandı.

Divi, Extra ve Divi Builder Eklentisini güncelleyin

Tüm yayıncıların Divi ve Ekstra temalarını hemen 4.5.3 sürümüne güncellemeleri önerilir. Bağımsız Divi Builder eklentisine sahip yayıncılar da bunu güncellemelidir.

 

KAYNAK: SEJ