Jetpack Eklentisinde Güvenlik Açığı Ortaya Çıktı
WordPress, beş milyondan fazla siteye yüklenen Jetpack eklentisinde kritik bir kusuru gidermek için otomatik bir güncelleme yayınladı.
Bir iç güvenlik denetimi sırasında ortaya çıkarılan güvenlik açığı, Kasım 2012’de yayımlanan 2.0 sürümünden bu yana eklentide bulunan bir apı’de bulunmaktadır.
İlginizi çekebilecek yazımız: Kali Linux 2023.2 Yayınlandı
Jetpack bir danışma belgesinde, “Bu güvenlik açığı, bir sitedeki yazarlar tarafından WordPress kurulumundaki herhangi bir dosyayı işlemek için kullanılabilir” dedi. hatayı düzeltmek için Jetpack’in 102 yeni sürümü yayınlandı.
Sorunun vahşi ortamda kullanıldığına dair bir kanıt bulunmamakla birlikte, popüler WordPress eklentilerindeki kusurların, siteleri kötü amaçlı amaçlar için ele geçirmek isteyen tehdit aktörleri tarafından kullanılması nadir değildir.
Bu, Jetpack’teki ciddi güvenlik zayıflıklarının WordPress’i yamaları yüklemeye zorlamasına neden olduğu ilk kez değil.
Kasım 2019’da Jetpack, eklentinin Temmuz 2017’den beri var olan gömme kodunu işleme biçimindeki bir kusuru gidermek için 7.9.1 sürümünü yayımladı (sürüm 5.1).
Geliştirme ayrıca Patchstack’in premium Gravity Forms eklentisinde kimliği doğrulanmamış bir kullanıcının rastgele PHP kodu enjekte etmesine izin verebilecek bir güvenlik açığı ortaya çıkarmasıyla da geliyor.
Sorun (CVE-2023-28782), 2.7.3 ve altındaki tüm sürümleri etkiler. 11 Nisan 2023’te kullanıma sunulan 2.7.4 sürümünde ele alınmıştır.
Haber Kaynağı: The Hacker News