WordPress Advanced Custom Fields eklentisi kullanıcılarından, bir güvenlik kusurunun keşfedilmesinin ardından 6.1.6 sürümünü güncellemeleri isteniyor.
CVE-2023-30777 tanımlayıcısı atanan sorun, aksi takdirde zararsız web sitelerine keyfi yürütülebilir komut dosyaları enjekte etmek için kötüye kullanılabilecek, yansıtılmış siteler arası komut dosyası çalıştırma (XSS) durumuyla ilgilidir.
Hem ücretsiz hem de pro versiyonu bulunan eklenti, iki milyondan fazla aktif kuruluma sahip. Sorun keşfedildi ve 2 Mayıs 2023’te yöneticilere bildirildi.
Patchstack araştırmacısı Rafie Muhammad, “Bu güvenlik açığı, kimliği doğrulanmamış herhangi bir kullanıcının hassas bilgileri çalmasına, bu durumda, ayrıcalıklı bir kullanıcıyı hazırlanmış URL yolunu ziyaret etmesi için kandırarak WordPress sitesinde ayrıcalık yükseltmesine izin veriyor” dedi.
Yansıtılmış XSS saldırıları genellikle kurbanlar, e-posta veya başka bir yolla gönderilen sahte bir bağlantıya tıklamaları için kandırıldığında ortaya çıkar ve kötü amaçlı kodun savunmasız web sitesine gönderilmesine neden olarak saldırıyı kullanıcının tarayıcısına geri yansıtır.
Sosyal mühendisliğin bu unsuru, yansıyan XSS’nin depolanmış XSS saldırılarıyla aynı erişime ve ölçeğe sahip olmadığı anlamına gelir ve bu da tehdit aktörlerinin kötü amaçlı bağlantıyı mümkün olduğu kadar çok kurbana dağıtmasına neden olur.
Imperva, “[Yansıtılmış bir XSS saldırısı], genellikle gelen isteklerin yeterince sterilize edilmemesinin bir sonucudur, bu da bir web uygulamasının işlevlerinin manipüle edilmesine ve kötü amaçlı komut dosyalarının etkinleştirilmesine olanak tanır.”
CVE-2023-30777’nin, yalnızca eklentiye erişimi olan oturum açmış kullanıcılar tarafından yapılması mümkün olsa da, Gelişmiş Özel Alanların varsayılan kurulumunda veya yapılandırmasında etkinleştirilebileceğini belirtmekte fayda var.
İlginizi Çekebilecek Yazımız: ChatGPT Benzeyen Siteler Büyük Risk Oluşturuyor
Geliştirme, Craft CMS’nin bir tehdit aktörü tarafından kötü niyetli yüklere hizmet etmek için kullanılabilecek iki orta önem dereceli XSS kusurunu (CVE-2023-30177 ve CVE-2023-31144) düzeltme eki yapmasıyla geldi.
Ayrıca cPanel ürünündeki (CVE-2023-29489, CVSS puanı: 6.1) başka bir XSS kusurunun ifşa edilmesinin ardından, rastgele JavaScript çalıştırmak için herhangi bir kimlik doğrulaması yapılmadan istismar edilebilir.
Assetnote’tan Shubham Shah, “Bir saldırgan yalnızca cPanel’in yönetim bağlantı noktalarına değil, aynı zamanda 80 ve 443 numaralı bağlantı noktalarında çalışan uygulamalara da saldırabilir.”
“Kimliği doğrulanmış bir cPanel kullanıcısı adına hareket ettikten sonra, bir web kabuğu yüklemek ve komut yürütme elde etmek genellikle önemsizdir.” Advanced Custom Fields eklentisi açığı kapatılmış oldu.
Haber Kaynağı: The Hacker News