wordfence'in ilgili yazısında şöyle diyor..

"Son birkaç gün içinde, eklentinin readme.txt dosyası için milyonlarca araştırma girişimi gördük; bunlar, muhtemelen bir hedef site istismar listesi oluşturmak için eklentinin varlığını araştıran saldırganlar ve 6.900'den fazla engellenmiş istismar girişimi. Saldırı verilerimiz, kuralın yalnızca eklenti savunmasız bir sürüme sahip bir siteye yüklendiğinde tetiklenmesi nedeniyle sınırlıdır, ancak 14 Mayıs'ta Github'da programatik bir istismar halka açıldı. Bu, geniş bir yükleme tabanı, istismar kolaylığı ve etki şiddetinin birleşimi nedeniyle yaygın saldırılar görme eğiliminde olan güvenlik açığı türüdür ve istismar girişimlerinin buradan sonra artacağını tahmin ediyoruz. "

Essential Addons for Elementor'da yamalanan güvenlik açığı, saldırganların eklentiyi çalıştıran bir milyon WordPress sitesindeki rastgele hesapların parolalarını sıfırlamasına izin verdi. Bunun nedeni, işlevin reset_passwordparola sıfırlama isteğini bir parola sıfırlama anahtarıyla yeterince doğrulamamasıydı, bu nedenle saldırganlar yalnızca geçerli bir kullanıcı adı sağlayabilir, sitenin ana sayfasından geçerli bir nonce alabilir, kalan alanlar için rasgele veriler girebilir ve verilen kullanıcı parolasını tek bir basit istekte seçtikleri parolaya sıfırlayın.
WordPress, kullanıcı adlarını hassas bilgiler olarak görmez, bu da saldırganların geçerli kullanıcı adları arayan bir siteyi kolayca numaralandırabileceği anlamına gelir. Ek olarak, site sahipleri genellikle varsayılan kullanıcı adını değiştirmeyi unutarak saldırganların 'admin' gibi genel varsayılan kullanıcı adlarını kullanmasını mümkün kılar. Bu, saldırganların sitedeki ayrıcalıklarını yükseltmek için tehlikeye atabilecekleri geçerli hesapları ortaya çıkarmalarını çok daha kolaylaştırır. Saldırgan yönetici olarak oturum açtıktan sonra, siteye, sunucuya ve herhangi bir şüphelenmeyen ziyaretçiye daha fazla bulaşmak için eklentiler ve arka kapılar yüklemek gibi eylemleri gerçekleştirme özgürlüğüne sahip olur.