Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: WordPress LiteSpeed ​​Cache Eklentisindeki Kritik Bir Kusur, Bilgisayar Korsanlarına Yönetici Erişimi Sağlıyor
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » WordPress LiteSpeed ​​Cache Eklentisindeki Kritik Bir Kusur, Bilgisayar Korsanlarına Yönetici Erişimi Sağlıyor

GenelSiber Güvenlik

WordPress LiteSpeed ​​Cache Eklentisindeki Kritik Bir Kusur, Bilgisayar Korsanlarına Yönetici Erişimi Sağlıyor

teknomers
Son güncelleme: 25 Ağustos 2024 20:29
teknomers
Paylaş
Paylaş


22 Ağu 2024Ravie LakshmananWeb Sitesi Güvenliği / Güvenlik Açığı

Siber güvenlik araştırmacıları, kritik bir güvenlik açığını ortaya çıkardı LiteSpeed ​​Önbelleği WordPress için kimliği doğrulanmamış kullanıcıların yönetici ayrıcalıkları elde etmesine izin verebilecek eklenti.

“Eklenti, kimliği doğrulanmamış bir ayrıcalık yükseltme güvenlik açığından muzdariptir ve bu da kimliği doğrulanmamış herhangi bir ziyaretçinin Yönetici düzeyinde erişim elde etmesine ve ardından kötü amaçlı eklentilerin yüklenip kurulmasına olanak tanır,” Patchstack’ten Rafie Muhammad söz konusu Çarşamba günü yayınlanan bir raporda.

CVE-2024-28000 (CVSS puanı: 9.8) olarak izlenen güvenlik açığı, 13 Ağustos 2024’te yayınlanan eklentinin 6.4 sürümünde düzeltildi. 6.3.0.1 ve öncesi de dahil olmak üzere eklentinin tüm sürümlerini etkiliyor.

LiteSpeed ​​Cache, WordPress’te en yaygın kullanılan önbellekleme eklentilerinden biridir ve beş milyondan fazla aktif kuruluma sahiptir.

Özetle, CVE-2024-28000 kimliği doğrulanmamış bir saldırganın kullanıcı kimliğini taklit ederek yönetici düzeyinde bir kullanıcı olarak kaydolmasını mümkün kılıyor ve bu sayede savunmasız bir WordPress sitesini ele geçirme ayrıcalığı elde ediyor.

Güvenlik açığı, eklentide bulunan ve tahmin edilmesi kolay rastgele bir sayının tohum olarak kullanılmasından kaynaklanan zayıf bir güvenlik karması kullanan bir kullanıcı simülasyonu özelliğinden kaynaklanıyor.

Özellikle, rastgele sayı üretecinin geçerli zamanın mikro saniyelik kısmından türetilmesi nedeniyle güvenlik karması için yalnızca bir milyon olası değer vardır. Dahası, rastgele sayı üreteci kriptografik olarak güvenli değildir ve oluşturulan karma ne tuzlanır ne de belirli bir isteğe veya kullanıcıya bağlanır.

“Bu, eklentinin, bir kullanıcının geçerli bir karma değerine erişimi varsa, hata ayıklama günlüklerinde veya kaba kuvvetle bulunabilen bir yöneticinin geçerli kimliğini belirlemesine izin veren rol simülasyonu işlevselliğini düzgün bir şekilde kısıtlamamasından kaynaklanmaktadır,” Wordfence söz konusu kendi uyarısında.

“Bu, kimliği doğrulanmamış saldırganların kullanıcı kimliklerini bir yönetici kimliğine benzetmelerini ve ardından /wp-json/wp/v2/users REST API uç noktasını kullanarak yönetici rolüne sahip yeni bir kullanıcı hesabı oluşturmalarını mümkün kılıyor.”

Hash oluşturma işlevinin PHP yöntemine dayanması nedeniyle, bu güvenlik açığının Windows tabanlı WordPress kurulumlarında kullanılamayacağını belirtmek önemlidir. sys_getloadavg() bu Windows’ta uygulanmadı.

Muhammad, “Bu güvenlik açığı, güvenlik karmaları veya rastgele anahtarlar olarak kullanılan değerlerin gücünün ve öngörülemezliğinin sağlanmasının kritik önemini vurguluyor” dedi.

LiteSpeed ​​Cache’de daha önce açıklanan bir açığın (CVE-2023-40000, CVSS puanı: 8.3) kötü niyetli kişiler tarafından istismar edilmesi nedeniyle, kullanıcıların örneklerini en son sürüme hızla güncellemeleri zorunludur.

Güncelleme

Wordfence, kusura karşı istismar girişimlerinin tüm hızıyla başladığını ortaya koydu. belirten “Son 24 saatte bu güvenlik açığını hedef alan 58.952 saldırıyı engelledi.”



siber-2

Yaklaşan siberpunk uçuş simülasyonu G-Rebels, daha yoğun bir Elit Tehlikeli oyununa benziyor
Far Cry 6, Stranger Things DLC’si ve ücretsiz bir oyun hafta sonu alıyor
Rusya, arızaları ve iletişim kaybını tespit etmeye odaklanan yerel bir “yaptırım karşıtı” sanallaştırma sistemi oluşturdu
Japon Ay’a iniş aracı SLIM, inanılmaz hayatta kalma kabiliyetiyle şaşırtmaya devam ediyor
Analist: Apple, Trump Dönemi Gümrük Tarifelerini Nasıl Hafifletebilir? İmalatı ABD’ye Taşımadan Tedarikçileri Baskı Altında Tutmak Dahil!
ETİKETLENDİ:ağ güvenliğibilgi GüvenliğiBilgisayarbilgisayar GüvenliğiBirCacheEklentisindekierişimifidye yazılımı kötü amaçlı yazılımhack haberlerihacker haberlerikorsanlarınaKritikKusurLiteSpeednasıl hacklenirSağlıyorsiber güncellemelersiber güvenlik güncellemelerisiber güvenlik haberleriSiber güvenlik haberleri bugünSiber Haberlersiber saldırılarveri ihlaliWordPressyazılım açığıYönetici
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Megalopolis fragmanındaki sahte alıntılardan yapay zeka sorumluydu
Sonraki Makale Çin’deki en yeni Haval H9’un Rusya’dakinden 1,7 milyon ruble daha ucuz olduğu ortaya çıktı

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Minecraft ve Hytale Geliştiricileri Yenilik İçin Birlikte Çalışıyor
Oyun
192 AA pille çalışan PC, Hannah Montana Linux ile sorunsuz çalışıyor
Donanım
Başka Bir Earth Benzeri Gezegenin Keşfi: Yeni Ufuklar Açılıyor!
Genel
2026 FIFA Dünya Kupası Finali: İspanya ve Arjantin Maçını Nasıl İzlerim?
Genel
Spatie olay kaynaklama kullanarak bir alan oluşturma
Yazılım
NASA’nın Stardust Uzay Aracı 2004’teki Görevinden Dönüyor: 4.6 Milyar Km
Bilim
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?