Üç milyondan fazla kullanıcısı olan popüler bir yedekleme WordPress eklentisi, yakın zamanda tehdit aktörlerinin parolalara, kimlik bilgilerine ve diğer hassas verilere erişmesine izin veren bir güvenlik açığını düzeltti.
WordFence güvenlik analistleri tarafından bildirildiği üzere, araştırmacı Marc Montpas, WordPress için bir yedekleme, geri yükleme ve klon eklentisi olan UpdraftPlus’ta bir güvenlik açığı keşfetti.
UpdraftPlus, kullanıcıların e-posta yoluyla sitenin sahibi tarafından belirlenen bir adrese yedeklemeye bir indirme bağlantısı göndermesine izin veren bir özelliğe sahiptir. Ancak, araştırmacının bulduğuna göre bu özellik zayıf bir şekilde uygulandı ve hemen hemen herkesin, hatta abone düzeyindeki kullanıcıların, yedek dosyaları indirmelerine izin verecek geçerli bir bağlantı oluşturmasına izin veriyor.
Ancak güvenlik açığından yararlanmak için, saldırganın hedef sistemde aktif bir hesaba sahip olması gerekir, araştırmacılar ayrıca böyle bir saldırının hedeflenmesi gerektiği sonucuna varıyor. Potansiyel sonuçlar “ağır” olarak tanımlanıyor, bu nedenle araştırmacılar, eklentilerini hemen güncellemek için tüm UpdraftPlus kullanıcılarını kullanıyor.
Yamalı sürüm 1.22.3’tür.
WordPress eklentileri genellikle, saldırganların web sitesini tamamen ele geçirmesine izin verebilecek kritik kusurlarla birlikte gelir. Sadece birkaç hafta önce, bir milyondan fazla web sitesi tarafından kullanılan popüler bir WordPress eklentisinin kritik bir uzaktan kod yürütme (RCE) hatası taşıdığı tespit edildi.
Yakın zamanda, kimliği doğrulanmamış bir saldırganın, bir site yöneticisi şablon düzenleyiciye her eriştiğinde çalışacak olan kötü amaçlı JavaScript’i enjekte etmesine izin veren eklenti olan “WordPress E-posta Şablonu Tasarımcısı – WP HTML Mail” eklentisinde başka bir güvenlik açığı da keşfedildi. Hashthemes Demo Importer eklentilerinde, savunmasız herhangi bir WordPress web sitesini tamamen silmek ve sıfırlamak için kullanılabilecek bir kusur keşfetti.
WordPress E-posta Şablon Tasarımcısı – WP HTML Mail, 20.000 web sitesi tarafından kullanılırken, Hashthemes Demo Importer eklentileri 8.000’den fazla kullanıcı sayar.