Aralık 2022’den bu yana SQL enjeksiyon saldırılarına açık olan WordPress (WP) kurulumları için üç popüler e-ticaret eklentisi yamalıişletmeleri web sitelerini değiştiren veya silen tehdit aktörlerinden korumak.
Etkilenen üç eklenti, Tenable güvenlik araştırmacısı Joshua Martinelle tarafından keşfedildiği şekliyle (yeni sekmede açılır) (üzerinden BleepingBilgisayar (yeni sekmede açılır)), vardı’Ücretli Üyelikler Pro (yeni sekmede açılır)‘, 100.000’den fazla kurulumda aktif olan bir abonelik yönetim aracı,’Kolay Dijital İndirmeler (yeni sekmede açılır)‘, 50.000’den fazla kurulumda aktif olan bir e-ticaret aracı ve’Anket İşaretleyici (yeni sekmede açılır)‘ (3.000’den fazla aktif kuruluma sahip bir pazar araştırma aracı)
SQL enjeksiyonları, saldırganların veritabanlarını değiştirmek için web sitesi formlarına veya URL’lere veri girmesine izin veren güvenlik kusurlarıdır. Saldırganlar, SQL enjeksiyonlarının web sitelerini değiştirmek veya arka uçlarına yetkisiz erişim elde etmek için tasarlanmış komut dosyaları enjekte etmesine izin veren güvenlik açıklarını kullanabilir.
WordPress SQL enjeksiyonları
Geliştirme sırasında tüm web siteleri SQL enjeksiyonuna karşı savunmasız olabilirken, birçok yaygın eklentiyle dolu popüler, merkezi bir platformda barındırılan WordPress kurulumları, açıklardan yararlanma arayan tehdit aktörleri için popüler bir hedeftir.
Yalnızca Ocak 2023’te, TechRadar Pro vardır bildirildi sunan diğer WP eklentilerinde canlı sohbet kullanıcıları kötü amaçlı web sitelerine yönlendiren JavaScript kodunu yürütmek için üç yıl boyunca işlevsellikten yararlanılıyor. başka bir benzer istismar hediye kartı işlevi ekleyen bir eklenti hedefleme çevrimiçi mağazalar.
Neyse ki, kusurların açıklanması ve kavram kanıtlama istismarlarının (PoC’ler) Martinelle tarafından 19 Aralık 2022’de WordPress’te yayınlanmasının ardından, eklentilerin geliştiricileri kusurları gidermek için hızla harekete geçti ve düzeltmeler birkaç hafta içinde yayınlandı. , hatta günler.
Eklentinin 3.1.2 sürümünün bir parçası olarak ‘Survey Maker’ için bir düzeltme 21 Aralık’ta yayınlandı. Bunu 27’sinde, 2.9.8 sürümüne eklenen bir düzeltmeyle “Pro Ücretli Üyelikler” ve 3.1.0.4 sürümünün bir parçası olarak 5 Ocak 2023’te “Easy Digital Downloads” takip etti.
Henüz yapmamışlarsa, etkilenen kullanıcıların kendilerini yakın gelecekte SQL enjeksiyon saldırılarına karşı korumak için bu eklentileri en son sürümlere güncellemeleri önerilir.