Spam korumasını, Anti-Spam’i ve WordPress Güvenlik Duvarı eklentisini etkileyen iki kritik güvenlik açığı, kimliği doğrulanmamış bir saldırganın duyarlı sitelere kötü amaçlı eklentiler yüklemesine ve etkinleştirmesine ve potansiyel olarak uzaktan kod yürütmesine olanak tanıyabilir.
Şu şekilde izlenen güvenlik açıkları: CVE-2024-10542 Ve CVE-2024-10781maksimum 10,0 üzerinden 9,8 CVSS puanına sahiptir. Bu ay yayımlanan 6.44 ve 6.45 sürümlerinde bunlara değinildi.
200.000’den fazla WordPress sitesine yüklenen CleanTalk’un Spam koruması, Anti-Spam, FireWall eklentisi reklamı yapıldı Spam yorumlarını, kayıtları, anketleri ve daha fazlasını engelleyen “evrensel bir anti-spam eklentisi” olarak.
Wordfence’e göre her iki güvenlik açığı da, kötü niyetli bir aktörün rastgele eklentiler kurmasına ve etkinleştirmesine izin verebilecek bir yetkilendirme atlama sorunuyla ilgili. Bu, etkinleştirilen eklentinin kendisinin savunmasız olması durumunda uzaktan kod yürütülmesinin önünü açabilir.
Güvenlik araştırmacısı István Márton, eklentinin “6.44’e kadar olan tüm sürümlerde ‘perform’ işlevindeki ‘api_key’ değerindeki boş değer kontrolünün eksik olması nedeniyle yetkisiz Rastgele Eklenti Kurulumuna karşı savunmasız olduğunu” belirtti. söz konusuCVE-2024-10781’e atıfta bulunarak.
Öte yandan, CVE-2024-10542, checkWithoutToken() işlevinde ters DNS sahtekarlığı yoluyla yapılan bir yetkilendirme atlamasından kaynaklanmaktadır.
Bypass yönteminden bağımsız olarak, bu iki eksiklikten başarıyla yararlanılması, saldırganın eklentileri yüklemesine, etkinleştirmesine, devre dışı bırakmasına ve hatta kaldırmasına olanak tanıyabilir.
Eklenti kullanıcılarının, olası tehditlere karşı korunmak için sitelerinin en son yamalı sürüme güncellendiğinden emin olmaları önerilir.
Gelişme Sucuri’nin uyardığı gibi gerçekleşti çoklu kampanyalar sorumlu kötü amaçlı kod enjekte etmek için güvenliği ihlal edilmiş WordPress sitelerinden yararlanan site ziyaretçilerini yönlendirme sahte reklamlar yoluyla diğer sitelere, oturum açma kimlik bilgilerinin gözden geçirilmesibirlikte kötü amaçlı yazılımı bırak yönetici şifrelerini yakalayan, VexTrio Viper dolandırıcılık sitelerine yönlendiren ve sunucuda rastgele PHP kodu çalıştıran.
