Son zamanlarda popüler bir WordPress eklentisinde bulunan bir hata, binlerce siteyi, şüpheli olmayan ziyaretçilere karşı kötü amaçlı web komut dosyaları çalıştırma riskine sokabilirdi.
Tarafından keşfedilen güvenlik açığı, Wordfence Tehdit İstihbaratı ekibi, WordPress web sitesi oluşturucuda çalışan web siteleri için özel e-postalar tasarlamayı kolaylaştıran bir eklenti olan “WordPress E-posta Şablon Tasarımcısı – WP HTML Mail” içinde bulundu.
Bazı 20.000 web sitesinde eklenti çalışıyor ve çalışıyor.
WordPress endişeleri
Araştırmacılara göre, kusur, kimliği doğrulanmamış bir saldırganın, bir site yöneticisi şablon düzenleyiciye her eriştiğinde çalışacak olan kötü amaçlı JavaScript’i enjekte etmesine izin verdi. Dahası, güvenlik açığı, e-posta alıcılarına yönelik bir kimlik avı saldırısında kullanılabilecek rastgele veriler ekleyerek e-posta şablonunu değiştirmelerine olanak tanır.
Araştırmacılar eklentinin geliştiricilerine ulaştı ve 13 Ocak’ta bir yama yayınlandı. Wordfence Tehdit İstihbarat Ekibi, e-posta şablonu tasarımcı eklentisini çalıştıran tüm WordPress yöneticilerini eklentiyi hemen 3.1 sürümüne güncellemeye çağırıyor.
Güvenlik açığını daha da detaylandıran araştırmacılar, eklentinin e-posta şablonu ayarlarını almak ve güncellemek için kullanılan iki REST-API yolunu kaydettiğini söyledi. Bunlar “güvenli olmayan bir şekilde uygulandıkları” için kimliği doğrulanmamış kullanıcılar bu uç noktalara erişebilirdi.
Arka kapıları enjekte etmek
Eklenti, istek yöntemine bağlı olarak saveThemeSettings işlevini veya getThemeSettings işlevini çağıran /themesettings uç noktasını kaydeder. REST-API uç noktası, allow_callback işlevini kullandı, ancak __return_true olarak ayarlandı; bu, işlevleri yürütmek için kimlik doğrulama gerekmediği anlamına geliyordu. Bu nedenle, herhangi bir kullanıcının e-postanın tema ayarlarını kaydetmek veya e-postanın tema ayarlarını almak için REST-API uç noktasını yürütme erişimi vardı, ”diye açıkladı araştırmacılar.
Araştırmacılar ayrıca, işlevsellik, e-posta şablonunda ayar değişikliklerinin uygulanmasına izin veriyor, bu da kötü niyetli bir aktörün onu kimlik avı için “kolayca” bir araca dönüştürebileceği anlamına geliyor. Şablona kötü amaçlı JavaScript bile ekleyebilirler.
“Her zaman olduğu gibi, siteler arası komut dosyası güvenlik açıkları, yeni yönetici kullanıcılar ekleyebilecek kod enjekte etmek, kurbanları kötü niyetli sitelere yönlendirmek, tema ve eklenti dosyalarına arka kapılar enjekte etmek ve çok daha fazlası için kullanılabilir.”
Tüm bunlar, kötü niyetli saldırganların, eklentinin yamalanmamış sürümünü çalıştıran sitelerde yönetici kullanıcı erişimi elde edebilmesi için “yüksek bir şans” olduğu anlamına gelir.