Güvenlik araştırmacıları, on binlerce WordPress web sitesinin, popüler bir eklentide bulunan çok sayıda yüksek önemdeki kusurlara karşı savunmasız olduğunu iddia etti.
PatchStack’teki uzmanlar, neredeyse hiç kodlama bilgisi olmayan kişilerin WordPress web siteleri aracılığıyla çevrimiçi kurslar ve dersler satmalarını sağlayan bir öğrenme yönetim sistemi eklentisi olan LearnPress’te üç güvenlik açığı keşfetti.
Web sitesi oluşturucudaki kusurlar için yama bir aydan uzun bir süredir mevcut, ancak araştırmacılar şimdiye kadar yalnızca (önemli) bir azınlığın bunu uyguladığı konusunda uyarıyorlar.
Bir düzeltme mevcut
Söz konusu üç güvenlik açığı, tehdit aktörlerinin kimlik bilgilerini, kimlik doğrulama belirteçlerini, API anahtarlarını ve benzerlerini görüntülemesine olanak tanıyan bir güvenlik açığı olan CVE-2022-47615; CVE-2022-45808, rasgele kod yürütülmesine olanak tanıyan, kimliği doğrulanmamış bir SQL enjeksiyon güvenlik açığı ve aynı zamanda veri hırsızlığına ve rasgele kod yürütülmesine yol açabilen, kimliği doğrulanmış bir SQL enjeksiyon kusuru olan CVE-2022-45820.
PatchStack, 30 Kasım ile 2 Aralık 2022 arasındaki kusurları keşfetti ve kısa süre sonra LearnPress’e bildirdi. Şirket, 20 Aralık’ta bir düzeltme ile geri geldi ve LearnPress’i 4.2.0 sürümüne getirdi. Ancak şimdiye kadar web sitelerinin yalnızca %25’i eklentiyi güncelledi. BleepingBilgisayar WordPress.org istatistiksel verilerinden alıntı yapıldığını bildirdi.
Yaklaşık 100.000 web sitesinin şu anda eklentiyi aktif olarak kullandığı göz önüne alındığında, bu, hala savunmasız web sitelerinin toplam sayısını yaklaşık 75.000’e çıkarır. Bunlar ciddi sonuçları olan yüksek önem dereceli kusurlar olduğundan, web yöneticilerinin yamayı hemen uygulamaları veya onlar yapana kadar eklentiyi devre dışı bırakmaları önerilir.
WordPress, dünyadaki en popüler web sitesi oluşturma platformudur ve bu nedenle siber suçlular için çekici bir hedeftir. WordPress’in kendisi nispeten güvenli olsa da (WP ile ilgili tüm kusurların %1’inden azı platformda bulunur), eklentileri (ve daha kesin olmak gerekirse ücretsiz eklentiler) genellikle en zayıf halkadır. Platforma sayısız ekstra işlevsellik getirirken, web yöneticilerinin doğru olanları seçmesi ve bunların her zaman güncellendiğinden emin olması çok önemlidir.
Üzerinden: BleepingBilgisayar (yeni sekmede açılır)