WordPress için LayerSlider eklentisini etkileyen kritik bir güvenlik açığı, veritabanlarından şifre karmaları gibi hassas bilgilerin çıkarılması için kötüye kullanılabilir.
Olarak belirtilen kusur CVE-2024-2879, maksimum 10,0 üzerinden 9,8 CVSS puanına sahiptir. Bu durum, 7.9.11’den 7.10.0’a kadar olan sürümleri etkileyen bir SQL enjeksiyonu durumu olarak tanımlanmıştır.
Sorun, 25 Mart’ta yapılan sorumlu açıklamanın ardından 27 Mart 2024’te yayımlanan 7.10.1 sürümünde giderildi. LayerSlider’ın geliştiricileri “Bu güncelleme önemli güvenlik düzeltmeleri içeriyor” söz konusu sürüm notlarında.
LayerSlider, kullanıcıların web siteleri için animasyonlar ve zengin içerik oluşturmalarına olanak tanıyan görsel bir web içerik düzenleyicisi, grafik tasarım yazılımı ve dijital görsel efektlerdir. Kendi sitesine göre eklenti kullanılmış “dünya çapında milyonlarca kullanıcı” tarafından.
Araçta tespit edilen kusur, kullanıcı tarafından sağlanan parametrelerden yeterince kaçılmaması ve wpdb::prepare()Wordfence, kimliği doğrulanmamış saldırganların ek SQL sorguları eklemesine ve hassas bilgileri toplamasına olanak sağladığını söyledi.
Bu gelişme, kimlik doğrulaması yapılmamış depolanan siteler arası komut dosyası çalıştırma (XSS) kusurunun keşfedilmesinin ardından gerçekleşti. WP-Members Üyelik Eklentisi (CVE-2024-1852, CVSS puanı: 7,2) rastgele JavaScript kodunun yürütülmesini kolaylaştırabilir. 3.4.9.3 sürümünde çözüldü.
WordPress güvenlik şirketi, yetersiz giriş temizleme ve çıkış kaçağı nedeniyle “kimliği doğrulanmamış saldırganların, bir kullanıcı enjekte edilmiş bir sayfaya (kullanıcıları düzenleme sayfası) eriştiğinde yürütülecek sayfalara rastgele web komut dosyaları yerleştirmesini mümkün kılıyor” dedi. söz konusu.
Kodun bir yöneticinin tarayıcı oturumu bağlamında çalıştırılması durumunda, sahte kullanıcı hesapları oluşturmak, site ziyaretçilerini diğer kötü amaçlı sitelere yönlendirmek ve diğer saldırıları gerçekleştirmek için kullanılabileceğini de ekledi.
Geçtiğimiz birkaç hafta içinde diğer WordPress eklentilerinde de güvenlik açıkları ortaya çıktı. Öğretmen ÖYS/ÖYS’si (CVE-2024-1751, CVSS puanı: 8,8) ve İletişim Formu Girişleri (CVE-2024-2030, CVSS puanı: 6,4) bilgi ifşası için kullanılabilir ve sırasıyla rastgele web komut dosyaları enjekte edilebilir.