Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: GiveWP WordPress Eklentisi Güvenlik Açığı 100.000’den Fazla Web Sitesini Tehlikeye Atıyor
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » GiveWP WordPress Eklentisi Güvenlik Açığı 100.000’den Fazla Web Sitesini Tehlikeye Atıyor

GenelSiber Güvenlik

GiveWP WordPress Eklentisi Güvenlik Açığı 100.000’den Fazla Web Sitesini Tehlikeye Atıyor

teknomers
Son güncelleme: 21 Ağustos 2024 09:07
teknomers
Paylaş
Paylaş


21 Ağu 2024Ravie LakshmananWordPress / Siber Güvenlik

WordPress’in GiveWP bağış ve bağış toplama eklentisinde, 100.000’den fazla web sitesini uzaktan kod çalıştırma saldırılarına maruz bırakan maksimum düzeyde bir güvenlik açığı ortaya çıkarıldı.

CVE-2024-5932 (CVSS puanı: 10.0) olarak izlenen bu kusur, 7 Ağustos 2024’te yayınlanan 3.14.2 sürümünden önceki tüm eklenti sürümlerini etkiliyor. Çevrimiçi takma adı villu164 olan bir güvenlik araştırmacısının sorunu keşfedip bildirdiği kabul ediliyor.

Wordfence, eklentinin “güvenilmeyen girdinin ‘give_title’ parametresinden deserializasyonu yoluyla 3.14.1’e kadar olan tüm sürümlerde PHP Nesne Enjeksiyonuna karşı savunmasız olduğunu” belirtti. söz konusu Bu haftaki bir raporda.

“Bu, kimliği doğrulanmamış saldırganların bir PHP Nesnesi enjekte etmesini mümkün kılar. Bir POP zincirinin ek varlığı, saldırganların uzaktan kod yürütmesine ve keyfi dosyaları silmesine olanak tanır.”

Güvenlik açığı, bağış bilgilerini (ödeme ayrıntıları dahil) belirtilen ağ geçidine geçirmeden önce girilen form verilerini doğrulamak ve temizlemek için kullanılan “give_process_donation_form()” adlı bir işlevden kaynaklanıyor.

Bu açığın başarılı bir şekilde istismar edilmesi, kimliği doğrulanmış bir tehdit aktörünün sunucuda kötü amaçlı kod yürütmesine olanak tanıyabilir; bu da kullanıcıların örneklerini en son sürüme güncellemek için adımlar atmasını zorunlu hale getirir.

Açıklama, Wordfence’in de birkaç gün sonra geldi ayrıntılı InPost PL ve InPost for WooCommerce WordPress eklentilerindeki (CVE-2024-6500, CVSS puanı: 10.0) bir diğer kritik güvenlik açığı, kimliği doğrulanmamış tehdit aktörlerinin wp-config.php dosyası da dahil olmak üzere keyfi dosyaları okumasına ve silmesine olanak sağlıyor.

Linux sistemlerinde yalnızca WordPress kurulum dizinindeki dosyalar silinebilir, ancak tüm dosyalar okunabilir. Sorun 1.4.5 sürümünde düzeltildi.

5.000’den fazla aktif kurulumu olan bir WordPress eklentisi olan JS Help Desk’teki bir diğer kritik eksiklik de şu şekildedir: örtüsüz (CVE-2024-7094, CVSS puanı: 9.8) PHP kod enjeksiyonu açığı nedeniyle uzaktan kod yürütülmesini etkinleştirdiği için. Güvenlik açığı için bir yama 2.8.7 sürümünde yayınlandı.

WordPress Eklentisi Güvenlik Açığı

Çeşitli WordPress eklentilerinde çözülen diğer güvenlik açıklarından bazıları aşağıda listelenmiştir –

  • CVE-2024-6220 (CVSS puanı: 9,8) – 简数采集器 (Keydatas) eklentisindeki keyfi bir dosya yükleme kusuru, kimliği doğrulanmamış saldırganların etkilenen sitenin sunucusuna keyfi dosyalar yüklemesine olanak tanır ve sonuç olarak kod yürütülmesine neden olur
  • CVE-2024-6467 (CVSS puanı: 8,8) – Abone düzeyinde ve üzeri erişime sahip kimliği doğrulanmış saldırganların keyfi dosyalar oluşturmasına ve keyfi kod yürütmesine veya hassas bilgilere erişmesine olanak tanıyan BookingPress randevu rezervasyon eklentisindeki keyfi bir dosya okuma kusuru
  • CVE-2024-5441 (CVSS puanı: 8.8) – Modern Events Calendar eklentisinde, abone erişimi ve üzeri olan kimliği doğrulanmış saldırganların, etkilenen sitenin sunucusuna keyfi dosyalar yüklemesine ve kod yürütmesine olanak tanıyan keyfi bir dosya yükleme hatası
  • CVE-2024-6411 (CVSS puanı: 8,8) – ProfileGrid’de bir ayrıcalık yükseltme hatası – Abone düzeyinde ve üzeri erişime sahip kimliği doğrulanmış saldırganların kullanıcı yeteneklerini bir Yöneticininkine güncellemesine olanak tanır

Bu güvenlik açıklarına karşı yama uygulamak, site ziyaretçilerinin girdiği finansal bilgileri toplayabilen kredi kartı kopyalama yazılımlarını kullanmak için bu açıkları kullanan saldırılara karşı önemli bir savunma hattıdır.

Geçtiğimiz hafta Sucuri ışık tutmak PrestaShop e-ticaret sitelerine kötü amaçlı JavaScript enjekte eden bir dolandırıcılık kampanyasında WebSoketi Kredi kartı bilgilerini çalmak için bağlantı.

GoDaddy’nin sahibi olduğu web sitesi güvenlik şirketi, WordPress site sahiplerini geçersiz eklenti ve temaları yüklememeleri konusunda uyardı ve bunların kötü amaçlı yazılımlar ve diğer kötü amaçlı faaliyetler için bir taşıyıcı görevi görebileceğini belirtti.

“Sonuç olarak, meşru eklentilere ve temalara bağlı kalmak, sorumlu web sitesi yönetiminin temel bir parçasıdır ve güvenlik, bir kısayol uğruna asla tehlikeye atılmamalıdır,” Sucuri söz konusu.



siber-2

Razer Kishi V2 Omurga İçin Gerçek Rekabeti Temsil Ediyor
Hükümetler BM Güvenlik Konseyi toplantısında casus yazılım düzenlemeleri çağrısında bulundu
Once Upon a Time…in Hollywood Devamı: Leonardo DiCaprio’nun Geri Dönüşü İçin Müzakereler Sürüyor
Rusların zevklerini dikkate alarak Toyota Kökleri ile 200 beygir gücü çerçevesi SUV. Sollers, yenilikle ilgili ayrıntıları açıkladı
Genshin Impact etkinliği Fungus Frenzy, Dori’yi ücretsiz veriyor
ETİKETLENDİ:100.000denAçığıağ güvenliğiatıyorbilgi Güvenliğibilgisayar GüvenliğieklentisiFazlafidye yazılımı kötü amaçlı yazılımGiveWPgüvenlikhack haberlerihacker haberlerinasıl hacklenirsiber güncellemelersiber güvenlik güncellemelerisiber güvenlik haberleriSiber güvenlik haberleri bugünSiber Haberlersiber saldırılarsitesinitehlikeyeveri ihlaliwebWordPressyazılım açığı
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Önizleme: Xbox ve MachineGames’in Indiana Jones and the Great Circle’ı beklenenden çok daha derin
Sonraki Makale Mafia Prequel Duyuruldu, Aralık Ayında Daha Fazla Bilgi Geliyor

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

10.000 indirme
Yazılım
Teknomers’in Sıradışı Gece İnovasyonu: Hastane Kodu Geliştirmeleri
Oyun
Tate Kardeşler Miami’de Gözaltına Alındı
Liste
Zilog Z80’in 50. Yılı: Açık Kaynak 8-Bit CPU Dönüşümü
Donanım
Kraken Kripto Opsiyonları Başlattı: Pazarın Genişlemesi Bekleniyor
Finans
Yapay Zeka Teknolojisinde Devrim: Herkes İçin Ücretsiz Bir Web Mi?
Genel
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?