Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: WordPress Hunk Companion Eklentisi Kusuru, Savunmasız Eklentileri Sessizce Kurmak İçin İstismar Edildi
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » WordPress Hunk Companion Eklentisi Kusuru, Savunmasız Eklentileri Sessizce Kurmak İçin İstismar Edildi

GenelSiber Güvenlik

WordPress Hunk Companion Eklentisi Kusuru, Savunmasız Eklentileri Sessizce Kurmak İçin İstismar Edildi

teknomers
Son güncelleme: 12 Aralık 2024 13:21
teknomers
Paylaş
Paylaş


12 Aralık 2024Ravie LakshmananWeb Sitesi Güvenliği / Güvenlik Açığı

Kötü niyetli aktörler kritik bir güvenlik açığından yararlanıyor iri parça arkadaş Çeşitli saldırılara kapı açabilecek diğer savunmasız eklentileri yüklemek için WordPress eklentisi.

CVE-2024-11972 (CVSS puanı: 9,8) olarak takip edilen kusur, eklentinin 1.9.0’dan önceki tüm sürümlerini etkiliyor. Eklentinin 10.000’den fazla aktif kurulumu var.

“Bu kusur, saldırganların savunmasız veya kapalı eklentiler yüklemesine olanak tanıdığından önemli bir güvenlik riski oluşturuyor; bu eklentiler daha sonra Uzaktan Kod Yürütme (RCE), SQL Enjeksiyonu, Siteler Arası Komut Dosyası Çalıştırma (XSS) ve hatta yönetimsel arka kapıların oluşturulması,” WPScan söz konusu bir raporda.

Daha da kötüsü, saldırganlar güvenlik önlemlerini aşmak, veritabanı kayıtlarını değiştirmek, kötü amaçlı komut dosyaları yürütmek ve sitelerin kontrolünü ele geçirmek için güncelliğini kaybetmiş veya terk edilmiş eklentilerden yararlanabilir.

WPScan, belirtilmeyen bir WordPress sitesindeki bir enfeksiyonu analiz ederken güvenlik kusurunu ortaya çıkardığını ve tehdit aktörlerinin WordPress adlı artık kapalı bir eklenti yüklemek için bunu silah haline getirdiğini tespit ettiğini söyledi. WP Sorgu Konsoluve ardından kötü amaçlı PHP kodunu yürütmek için yüklü eklentideki bir RCE hatasından yararlanılıyor.

WP Sorgu Konsolu’ndaki sıfır gün RCE kusurunun şu şekilde izlendiğini belirtmekte fayda var: CVE-2024-50498 (CVSS puanı: 10.0), yama yapılmadan kalıyor.

CVE-2024-11972 ayrıca aşağıdakiler için bir yama bypassıdır: CVE‑2024‑9707 (CVSS puanı: 9,8), Hunk Companion’da yetkisiz eklentilerin kurulmasına veya etkinleştirilmesine olanak sağlayabilecek benzer bir güvenlik açığı. Bu eksiklik 1.8.5 sürümünde giderildi.

Özünde, “hunk-companion/import/app/app.php” komut dosyasındaki, kimliği doğrulanmamış isteklerin mevcut kullanıcının eklenti yükleme iznine sahip olup olmadığını doğrulamak için uygulanan kontrolleri atlamasına izin veren bir hatadan kaynaklanıyor.

WPScan’den Daniel Rodriguez, “Bu saldırıyı özellikle tehlikeli yapan şey, faktörlerin birleşimidir – Hunk Companion’da önceden yamalanmış bir güvenlik açığından yararlanarak, bilinen bir Uzaktan Kod Yürütme kusuruna sahip, şimdi kaldırılmış bir eklentiyi yüklemektir.” dedi.

“Kötüye kullanım zinciri, bir WordPress sitesinin her bileşeninin, özellikle de saldırganlar için kritik giriş noktaları haline gelebilecek üçüncü taraf temaları ve eklentilerinin güvenliğinin sağlanmasının öneminin altını çiziyor.”

Geliştirme Wordfence olarak geliyor açıklandı yüksek düzeyde bir kusur WPFormları Eklenti (CVE-2024-11205, CVSS puanı: 8.5), Abone düzeyi ve üzeri erişime sahip kimliği doğrulanmış saldırganların Stripe ödemelerini iade etmesini ve abonelikleri iptal etmesini mümkün kılar.

1.8.4’ten 1.9.2.1’e kadar (1.9.2.1 dahil) sürümleri etkileyen güvenlik açığı, 1.9.2.2 veya sonraki sürümlerde giderilmiştir. Eklenti 6 milyondan fazla WordPress sitesine kuruludur.



siber-2

Hubble Uzay Teleskobunun Yerini Değiştirmek ve Ömrünü Uzatmak İçin Yeni Bir Plan Var
Baldur’s Gate 3 Geliştiricisinin Oyunun Riskleri Ortaya Çıkmazsa Geri Dönüş Planları Vardı
EA Motive’in Dead Space Remake’i Ocak 2023’te Çıkıyor
Civ 7, Steam güncellemesine göre Denuvo ile birlikte piyasaya sürülebilir
Elon Musk, Twitter’a karşı dava açtı
ETİKETLENDİ:ağ güvenliğibilgi Güvenliğibilgisayar GüvenliğiCompanionEdildiEklentilerieklentisifidye yazılımı kötü amaçlı yazılımhack haberlerihacker haberleriHunkiçinistismarkurmakkusurunasıl hacklenirSavunmasızsessizcesiber güncellemelersiber güvenlik güncellemelerisiber güvenlik haberleriSiber güvenlik haberleri bugünSiber Haberlersiber saldırılarveri ihlaliWordPressyazılım güvenlik açığı
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Call of Duty 2026’nın Omnimovement, Wall Running ve Yeniden Düzenlenmiş MW3 Haritalarını İçereceği Söylentileri
Sonraki Makale Özel Best Buy satışı Pixel 8 Pro’yu muhtemelen kısa bir süre için 650 doların altına getiriyor

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Veri merkezi CPU talebi arttı; AI ajansları ve CPU-GPU oranı önem kazandı
Donanım
Total War Warhammer 40k’dan Heyecan Verici Gelişmeler
Oyun
Acil: Instagram Hesap Hackleri, Android Zero-Day ve GitHub Solucanı!
Siber Güvenlik
Hackler 20,000’den Fazla Instagram Hesabını Ele Geçirdi
Liste
Acil: Wazuh Cloud ile Siber Güvenlik Operasyonlarını Basitleştirin
Siber Güvenlik
Lego Batman’daki Yeni Easter Egg için Şifreyi Çözme Zorluğu
Oyun
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?