WordPress kısa bir süre önce, yeni keşfedilen, yüksek önem dereceli bir kusurdan korunmak amacıyla beş milyondan fazla web sitesine zorla bir yama yükledi.
Kusur, ünlü web sitesi oluşturucunun en popüler eklentilerinden biri olan ve ek güvenlik, performans ve web sitesi yönetimi yetenekleri sunan Jetpack’te bulundu.
WordPress ana şirketi Automattic’e göre, eklentinin beş milyondan fazla aktif kurulumu var ve yöneticiler bunu sitelerini yedeklemek, kaba kuvvet saldırılarına karşı korumak, kötü amaçlı yazılım saldırılarını taramak ve daha fazlası için kullanıyor.
Çoğu site güvenli
Otomatik Geliştirici İlişkileri Mühendisi Jeremy Herve, “Dahili bir güvenlik denetimi sırasında, 2012’de yayınlanan 2.0 sürümünden beri Jetpack’te bulunan API’de bir güvenlik açığı bulduk” dedi. “Bu güvenlik açığı, bir sitedeki yazarlar tarafından WordPress kurulumundaki herhangi bir dosyayı değiştirmek için kullanılabilir.”
Resmi WordPress’e göre, 30 Mayıs itibarıyla Jetpack 12.1.1 indirildi ve 4.350.000’den fazla web sitesine yüklendi. veri. Bu, tüm WordPress ekosisteminin kabaca %45’ini oluşturur, yani kabaca %55’i korumasız kalır. Karışıklığı önlemek için buna hem etkin hem de etkin olmayan yüklemeler dahildir. Görünüşe göre aktif web sitelerinin çoğu yamalı.
Herve, kusurun vahşi ortamda kötüye kullanıldığına dair bir kanıt olmadığını ve ayrıca, güvenlik açığı kamuoyuna açıklandığında bunun muhtemelen değişeceğini belirtti.
“Bu güvenlik açığının vahşi ortamda kullanıldığına dair hiçbir kanıtımız yok. Ancak, güncelleme yayınlandıktan sonra, birisinin bu güvenlik açığından yararlanmaya çalışması olasıdır.”
“Sitenizin güvenliğini sağlamak için lütfen Jetpack sürümünüzü mümkün olan en kısa sürede güncelleyin. Bu süreçte size yardımcı olmak için, 2.0’dan bu yana her Jetpack sürümünün yamalı sürümlerini yayınlamak için WordPress.org Güvenlik Ekibi ile yakın bir şekilde çalıştık. web siteleri otomatik olarak güvenli bir sürüme güncellendi veya yakında güncellenecek.”
WordPress en son büyük bir güncellemeyi zorunlu olarak yüklediğinde, neredeyse bir yıl önce, Haziran 2022’de Ninja Forms’taki yüksek önem dereceli bir kusuru giderdiği zamandı. O zamanlar bir milyondan fazla kuruluma sahip olan eklenti, potansiyel tehdit aktörlerinin savunmasız bir web sitesini tamamen ele geçirmesine izin verdi.
Araştırmacılar, Jetpack güvenlik açığının aksine, Ninja Forms’un kusurunun vahşi doğada kötüye kullanıldığını söylüyordu. Otomatik güncellemenin herhangi bir nedenle başarısız olması durumunda, kullanıcılardan eklentilerinin 3.6.11 sürümüne güncellendiğinden emin olmaları istendi.
Aracılığıyla: BleepingBilgisayar
