Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. WordPress Eklentisinde Kritik Güvenlik Açığı!

WordPress Eklentisinde Kritik Güvenlik Açığı!

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 3 dk okuma süresi
201 0

WordPress Eklentisinde Kritik Güvenlik Açığı!

200.000 kadar WordPress web sitesi, Ultimate Üye eklentisindeki yama uygulanmamış kritik bir güvenlik açığından yararlanan devam eden saldırıların riski altındadır.

CVE-2023-3460 (CVSS puanı: 9.8) olarak izlenen kusur, 29 Haziran 2023’te yayınlanan en son sürüm (2.6.6) dahil olmak üzere Ultimate Üye eklentisinin tüm sürümlerini etkiliyor.

İlginizi çekebilecek yazımız: Güncel İnstagram Brute Force Aracı

  • Ultimate Üye, WordPress sitelerinde kullanıcı profilleri ve toplulukların oluşturulmasını kolaylaştıran popüler bir eklentidir. Ayrıca hesap yönetimi özellikleri sağlar.
  • WordPress güvenlik firması WPScan bir uyarıda, “Bu çok ciddi bir sorun: kimliği doğrulanmamış saldırganlar, yönetici ayrıcalıklarına sahip yeni kullanıcı hesapları oluşturmak için bu güvenlik açığından yararlanabilir ve onlara etkilenen sitelerin tam kontrolünü ele geçirme gücü verebilir.”
  • Aktif suistimal nedeniyle kusurla ilgili ayrıntılar gizlenmiş olsa da, bu, yeni bir kullanıcının wp_capabilities kullanıcı meta değerini bir yöneticininkiyle değiştirmek ve siteye tam erişim elde etmek için uygulamaya konan yetersiz bir blok listesi mantığından kaynaklanmaktadır.

“Eklentinin, bir kullanıcının güncelleme yapamaması gereken, önceden tanımlanmış bir yasaklanmış anahtarlar listesi olsa da, sağlanan bir meta anahtar değerinde çeşitli durumlar, eğik çizgiler ve karakter kodlaması kullanmak gibi filtreleri atlamanın önemsiz yolları vardır. eklentinin savunmasız sürümlerinde,” dedi Wordfence araştırmacısı Chloe Chamberland.

Wordpress Eklentisinde Kritik Güvenlik

Sorun, etkilenen sitelere hileli yönetici hesaplarının eklendiğine dair raporların ortaya çıkmasıyla ortaya çıktı ve eklenti bakımcılarının 2.6.4, 2.6.5 ve 2.6.6 sürümlerinde kısmi düzeltmeler yayınlamasını istedi. Önümüzdeki günlerde yeni bir güncellemenin yayınlanması bekleniyor.

Ultimate Member, sürüm notlarında “UM Formları aracılığıyla kullanılan bir ayrıcalık yükseltme güvenlik açığı” dedi. “Vahşi ortamda bilinen bu güvenlik açığı, yabancıların yönetici düzeyinde WordPress kullanıcıları oluşturmasına izin verdi.”

Ancak WPScan, yamaların eksik olduğunu ve bunları aşmak için çok sayıda yöntem bulduğunu, yani sorunun hala aktif olarak istismar edilebilir olduğunu belirtti.

Gözlemlenen saldırılarda zafiyet, apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup ve wpenginer adlarıyla yeni hesaplar açarak sitenin yönetim paneli üzerinden kötü amaçlı eklenti ve temalar yüklemek için kullanılıyor.

Ultimate Üye kullanıcılarına, güvenlik açığını tamamen kapatan uygun bir yama sağlanana kadar eklentiyi devre dışı bırakmaları önerilir. Yetkisiz hesapların eklenip eklenmediğini belirlemek için web sitelerindeki tüm yönetici düzeyindeki kullanıcıları denetlemeniz de önerilir.

WordPress Eklentisinde Kritik Güvenlik Açığı için eklentiyi kullanıyorsanız güncellemeyi unutmayın. 

Haber Kaynağı: The Hacker News

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir