کمیته رکن چهارم – یک آسیبپذیری بسیار جدی در افزونه King Addons for Elementor شناسایی شده که به مهاجمان امکان میدهد بدون نیاز به ورود یا تأیید هویت، حساب کاربری با سطح دسترسی مدیر در سایتهای وردپرسی ایجاد کنند. این نقص امنیتی در حال حاضر بهطور فعال مورد سوءاستفاده قرار گرفته است.
به گزارش کمیته رکن چهارم، این آسیبپذیری در نسخههای قبلی این افزونه وجود دارد و در یکی از بهروزرسانیهای اخیر برطرف شده است. مشکل امنیتی از طریق یک تابع ثبتنام فعال میشود که نقش کاربر را بهدرستی محدود نمیکند و مهاجم با ارسال یک درخواست اینترنتی تغییر یافته، میتواند حساب مدیر ایجاد کند.
طبق اعلام منابع امنیتی، حملات گستردهای برای بهرهبرداری از این نقص ثبت شده و مهاجمان از آدرسهای مختلف برای اجرای این حملات استفاده کردهاند. در صورت موفقیت، مهاجم میتواند کنترل کامل سایت را در دست بگیرد، کدهای مخرب وارد کند، کاربران را به صفحات آلوده هدایت کرده یا فایلهای مخرب نصب کند.
به مدیران سایتهای وردپرسی توصیه میشود افزونه King Addons را به آخرین نسخه بهروزرسانی کرده و بخش مدیریت کاربران، فایلها و فعالیتهای غیرعادی را بررسی کنند تا از سوءاستفادههای احتمالی جلوگیری شود.
