01 Haziran 2023Ravie LakshmananWeb Sitesi Güvenliği / WordPress

WordPress, kritik bir kusuru gidermek için otomatik bir güncelleme yayınladı. Jet paketi eklentisi beş milyondan fazla sitede yüklü.

Dahili bir güvenlik denetimi sırasında ortaya çıkarılan güvenlik açığı, o zamandan beri eklentide bulunan bir API’de bulunuyor. sürüm 2.0Kasım 2012’de yayınlandı.

Jetpack, “Bu güvenlik açığı, bir sitedeki yazarlar tarafından WordPress kurulumundaki herhangi bir dosyayı değiştirmek için kullanılabilir.” söz konusu bir danışmada. Hatayı gidermek için Jetpack’in 102 yeni sürümü yayınlandı.

Sorunun kötüye kullanıldığına dair bir kanıt bulunmamakla birlikte, popüler WordPress eklentilerindeki kusurların, siteleri kötü amaçlarla ele geçirmek isteyen tehdit aktörleri tarafından kullanılması alışılmadık bir durum değildir.

Bu, Jetpack’teki ciddi güvenlik zayıflıklarının WordPress’i yamaları yüklemeye zorlamaya ilk kez yöneltmiyor.

Kasım 2019’da Jetpack piyasaya sürüldü sürüm 7.9.1 eklentinin Temmuz 2017’den (sürüm 5.1) beri var olan yerleştirme kodunu işleme biçimindeki bir kusuru düzeltmek için.

Geliştirme aynı zamanda Patchstack olarak geliyor açıklığa kavuşmuş premium Gravity Forms eklentisinde, kimliği doğrulanmamış bir kullanıcının rastgele PHP kodu enjekte etmesine izin verebilecek bir güvenlik açığı.

wordpress

Sorun (CVE-2023-28782), 2.7.3 ve altındaki tüm sürümleri etkiliyor. 11 Nisan 2023’te kullanıma sunulan 2.7.4 sürümünde ele alınmıştır.



siber-2