WordPress web sitesi oluşturucu için popüler bir eklenti (yeni sekmede açılır) iki milyondan fazla aktif yükleme, tehdit aktörlerinin ziyaretçilerden hassas verileri çalmasına ve bazı durumlarda web sitesini tamamen ele geçirmesine izin veren ciddi bir kusur taşıyordu.
Eklenti, Pro sürümüyle birlikte web sitesi yöneticilerine web sitesinin içeriği ve verileri üzerinde daha fazla kontrol sağlayan Gelişmiş Özel Alanlar olarak adlandırılır.
Ancak eklenti, saldırganların savunmasız web sitelerine kötü amaçlı kod enjekte etmesine izin veren siteler arası komut dosyası çalıştırma (XSS) saldırısına karşı savunmasızdı. Kod daha sonra ziyaretçinin tarayıcısında çalıştırılarak saldırganların hassas verileri ele geçirmesine olanak tanır. Ziyaretçilerden birinin aynı zamanda sitenin yöneticisi olduğu ortaya çıkarsa, saldırgan onların verilerini de alabilir ve sonunda web sitesini tamamen ele geçirebilir.
kusur yama
Güvenlik açığı ilk olarak Şubat 2023’ün başlarında Patchstack araştırmacısı Rafie Muhammad tarafından keşfedildi ve eklentinin satıcısı Delicious Brains’e bildirildi.
CVE-2023-30777 takip numarası verildi ve önem derecesi 6.1/10 olarak derecelendirildi. İki ay sonra, Nisan başında, Delicious Brains, kusuru gideren ve eklentiyi 6.1.6 sürümüne yükselten bir yama yayınladı. Siteler arası betik çalıştırma saldırılarından endişe duyan yöneticiler, eklentilerinin mümkün olan en kısa sürede bu sürüme yükseltildiğinden emin olmalıdır.
“Bu güvenlik açığı, kimliği doğrulanmamış herhangi bir kullanıcının [to steal] Patchstack, “Bu durumda, ayrıcalıklı kullanıcıyı hazırlanmış URL yolunu ziyaret etmesi için kandırarak WordPress sitesinde ayrıcalık yükseltmeye hassas bilgiler” diyor. “Bu güvenlik açığı, Gelişmiş Özel Alanlar eklentisinin varsayılan kurulumunda veya yapılandırmasında tetiklenebilir. Araştırmacılar, XSS’nin yalnızca Gelişmiş Özel Alanlar eklentisine erişimi olan oturum açmış kullanıcılar tarafından da tetiklenebileceğini belirtti.
göre Kayıtkusur nispeten basittir ve son birkaç yılda bu eklentide bulunan dört kişiden biridir.
Aracılığıyla: Kayıt (yeni sekmede açılır)