WordPress için Gelişmiş Özel Alanlar eklentisi kullanıcılarından, bir güvenlik kusurunun keşfedilmesinin ardından 6.1.6 sürümünü güncellemeleri isteniyor.
CVE-2023-30777 tanımlayıcısı atanan sorun, aksi takdirde zararsız web sitelerine keyfi yürütülebilir komut dosyaları enjekte etmek için kötüye kullanılabilecek, yansıtılmış siteler arası komut dosyası çalıştırma (XSS) durumuyla ilgilidir.
Hem ücretsiz hem de pro versiyonu bulunan eklenti, iki milyon aktif kurulum. Sorun keşfedildi ve 2 Mayıs 2023’te bakımcılara bildirildi.
Patchstack araştırmacısı Rafie Muhammad, “Bu güvenlik açığı, kimliği doğrulanmamış herhangi bir kullanıcının hassas bilgileri çalmasına, bu durumda, ayrıcalıklı bir kullanıcıyı hazırlanmış URL yolunu ziyaret etmesi için kandırarak WordPress sitesinde ayrıcalık yükseltmesine olanak tanır.” söz konusu.
Yansıyan XSS saldırılar genellikle kurbanlar kandırılarak e-posta veya başka bir yolla gönderilen sahte bir bağlantıya tıkladığında gerçekleşir ve bu da kötü amaçlı kodun savunmasız web sitesine gönderilmesine neden olur ve bu da saldırıyı kullanıcının tarayıcısına geri yansıtır.
Sosyal mühendisliğin bu unsuru, yansıyan XSS’nin depolanmış XSS saldırılarıyla aynı erişime ve ölçeğe sahip olmadığı anlamına gelir ve bu da tehdit aktörlerinin kötü amaçlı bağlantıyı mümkün olduğu kadar çok kurbana dağıtmasına neden olur.
“[A reflected XSS attack] tipik olarak, bir web uygulamasının işlevlerinin manipüle edilmesine ve kötü amaçlı komut dosyalarının etkinleştirilmesine olanak tanıyan, gelen isteklerin yeterince sterilize edilmemesinin bir sonucudur.” notlar.
CVE-2023-30777’nin, yalnızca eklentiye erişimi olan oturum açmış kullanıcılar tarafından yapılması mümkün olsa da, Gelişmiş Özel Alanların varsayılan kurulumunda veya yapılandırmasında etkinleştirilebileceğini belirtmekte fayda var.
Geliştirme, Craft CMS’nin iki orta şiddette XSS kusurunu (CVE-2023-30177 Ve CVE-2023-31144) bir tehdit aktörü tarafından kötü amaçlı yüklere hizmet etmek için kullanılabilir.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Ayrıca cPanel ürünündeki (CVE-2023-29489CVSS puanı: 6.1), isteğe bağlı JavaScript çalıştırmak için herhangi bir kimlik doğrulaması olmadan kullanılabilir.
Assetnote’tan Shubham Shah, “Bir saldırgan yalnızca cPanel’in yönetim bağlantı noktalarına değil, aynı zamanda 80 ve 443 numaralı bağlantı noktalarında çalışan uygulamalara da saldırabilir.” söz konusueklemek, bir rakibin geçerli bir kullanıcının cPanel oturumunu ele geçirmesine olanak sağlayabilir.
“Kimliği doğrulanmış bir cPanel kullanıcısı adına hareket ettikten sonra, bir web kabuğu yüklemek ve komut yürütme elde etmek genellikle önemsizdir.”