Çok popüler bir WordPress eklentisindeki Kritik Uzaktan Kod Yürütme (RCE) güvenlik açıkları henüz herkese açık hale getirildi.
Bu RCE kusurlarının aşağıdakiler üzerinde etkisi vardır: PHP Her Yerde, web geliştiricileri için sayfalarda, gönderilerde, kenar çubuğunda veya Gutenberg bloğu olan herhangi bir yerde PHP kodunun kullanılmasına izin veren bir yardımcı programdır – WordPress’te blokları düzenleme – Gutenberg sistemini kullanan etki alanlarında içerik yönetimi (CMS). Eklenti 30.000’den fazla web sitesinde kullanılmaktadır.
WordFence Tehdit İstihbaratı ekibine göre, üç güvenlik açığı PHP Everywhere’in tümü, yazılımın 2.0.3’ten daha düşük sürümlerinde uzaktan kod yürütülmesine yol açar.
Bu eklentiyi kullanan yöneticiler için değişiklik
İlk güvenlik açığı CVE-2022-24663 olarak bilinir ve 9.9’luk bir CVSS önem puanına atanmıştır.
WordPress, kimliği doğrulanmış kullanıcıların ayrıştırma-ortam-kısa kod AJAX eylemi aracılığıyla kısa kodlar çalıştırmasına izin verir. Bu durumda, kullanıcılar oturum açtıysa – neredeyse hiçbir izinleri olmasa bile, örneğin abone olsalar bile – isteğe bağlı PHP’yi yürütmek için ayrıntılı bir sorgu parametresi gönderilebilir ve bu da web sitesinin tamamen ele geçirilmesine yol açabilir.
Ayrıca 9,9 önem derecesi puanı alan CVE-2022-24664, güvenlik araştırmacıları tarafından açıklanan ikinci RCE güvenlik açığıdır. Bu güvenlik açığı, PHP Everywhere’in meta kutuları (kaygan düzenleme kutuları) işleme biçiminde ve yazılımın, edit_posts yeteneğine sahip herhangi bir kullanıcının bu işlevleri kullanmasına nasıl izin verdiğinde bulundu.
WordFence, “Katkıda bulunan düzeydeki kullanıcılar, bir gönderi oluşturarak, PHP Everywhere meta kutusuna PHP kodu ekleyerek ve ardından gönderiyi önizleyerek bir sitede kod çalıştırmak için PHP Everywhere meta kutusunu kullanabilir” diyor. “Bu güvenlik açığı, kısa kod güvenlik açığıyla aynı CVSS puanına sahip olsa da, katkıda bulunan düzeyinde izinler gerektirdiğinden daha az ciddidir. »
Üçüncü güvenlik açığı CVE-2022-24665 olarak izleniyor ve ayrıca 9,9 önem derecesi puanı aldı. edit_posts izinlerine sahip tüm kullanıcılar PHP Everywhere’in Gutenberg bloklarını kullanabilir ve saldırganlar bu işlevler aracılığıyla rastgele PHP kodu yürüterek bir web sitesinin işlevselliğini değiştirebilir.
Bu işlevi yalnızca yöneticiler için ayarlamak mümkündü, ancak 2.0.3’ten daha düşük yazılım sürümlerinde varsayılan olarak uygulanamadı.
WordFence, 4 Ocak’ta eklentinin geliştiricisine güvenlik açıklarını açıkladı ve bu geliştirici hızla bir dizi düzeltmeyi bir araya getirdi. 10 Ocak’ta eklentinin yamalı sürümü v.3.0.0 dağıtıldı.
Geliştirici Alexander Fuchs, bazı blok düzenleyici işlevlerinin gerekli şekilde kaldırılması nedeniyle güncellemenin “boşa” yol açtığını söyledi. Sorunla karşılaşan kullanıcılar – özellikle de klasik editöre güveniyorlarsa – bu nedenle eski kodlarını Gutenberg bloklarına yükseltmeleri veya PHP’yi çalıştırmanın başka bir yolunu bulmaları gerekecektir.
Yazma sırasında, kullanıcıların %30’undan biraz fazlası güncelleme yaptı, pek çok web sitesi hala eklentinin savunmasız sürümlerini çalıştırıyor.
Kaynak: ZDNet.com