Amerika Birleşik Devletleri hükümeti Ulusal Güvenlik Açığı Veritabanı (NVD), Shortcodes Ultimate WordPress eklentisi hakkında bir danışma belgesi yayınlayarak, Siteler Arası İstek Sahteciliği güvenlik açığı içerdiğinin keşfedildiği konusunda uyarıda bulundu.
Shortcodes Ultimate, 700.000’den fazla aktif kuruluma sahip oldukça popüler bir WordPress eklentisidir.
Güvenlik açığı, mevcut 5.12.2 sürümünden daha eski olan eklenti sürümlerini etkiler.
Siteler Arası İstek Sahteciliği Güvenlik Açığı
Genellikle CSRF olarak adlandırılan Siteler Arası İstek Sahteciliği, en kötü durumlarda web sitesinin tamamen ele geçirilmesine yol açabilecek bir tür güvenlik açığıdır.
Bu tür güvenlik açıklarına genellikle yazılımdaki bir değişikliği tetikleyebilecek ve daha sonra istenmeyen sonuçlara yol açabilecek bir kusurun hedeflenmesi neden olur.
Başarılı bir saldırı genellikle, örneğin yönetici ayrıcalıklarına sahip, bir bağlantıya tıklamak ve daha sonra o kişinin kimliğine bürünmek için kullanılabilecek bir oturum tanımlama bilgisi gibi bilgileri istemeden ifşa etmek gibi bir kullanıcıya bağlıdır.
Bu tür bir güvenlik açığı, son kullanıcıyı bir eylemi tamamlaması için manipüle eden ve ardından eklenti güvenlik açığından yararlanan sosyal mühendisliğe bağlıdır.
Açık Web Uygulama Güvenliği Projesi (OWASP) göre:
“CSRF, kurbanı kötü niyetli bir istek göndermesi için kandıran bir saldırıdır.
Mağdur adına istenmeyen bir işlevi yerine getirmesi mağdurun kimliğini ve ayrıcalıklarını devralır…
Çoğu site için, tarayıcı istekleri, kullanıcının oturum tanımlama bilgisi, IP adresi, Windows etki alanı kimlik bilgileri vb. gibi siteyle ilişkili tüm kimlik bilgilerini otomatik olarak içerir.
Bu nedenle, kullanıcının sitede kimliği doğrulanmışsa, sitenin mağdur tarafından gönderilen sahte istek ile mağdur tarafından gönderilen meşru bir istek arasında ayrım yapması mümkün olmayacaktır.”
Ulusal Güvenlik Açığı Veritabanı (NVD)
Ulusal Güvenlik Açığı Veritabanı, güvenlik açığı hakkında yalnızca birkaç ayrıntı yayınladı. Şu anda güvenlik açığının kendisinin tam bir dökümü yok.
NVD danışma belgesi aşağıdakileri yayınladı:
“Kısa Kodlar Ultimate eklentisinde <= 5.12.0 WordPress’te Siteler Arası İstek Sahteciliği (CSRF) güvenlik açığı, eklenti ön ayar ayarlarının değişmesine neden oluyor.”
Resmi Kısa kodlar Ultimate GitHub değişiklik günlüğü benzer şekilde belirsizdi ve güvenlik açığını gidermek için yapılan güncellemeyi açıklıyordu:
“### 5.12.1
**Güvenlik sürümü**
Bu güncelleme, kısa kod oluşturucudaki bir güvenlik açığını giderir. Bunu keşfettiği için Dave John’a teşekkürler.”
Bu arada WordPress eklenti deposu değişiklik günlüğü açıklamak:
“Önceki güncellemede tanıtılan Kısa Kod Oluşturucu Ön Ayarları ile ilgili sorun düzeltildi”
Yukarıdaki değişiklik günlüğü, doğru yazılmış olan güvenlik araştırmacısının adını yanlış yazmış gibi görünüyor.
Önerilen Eylem Planı
Şu anda Shortcodes Plugin kullanan WordPress yayıncıları, şu anda 5.12.2 sürümü olan en son sürüme güncelleme yapmayı düşünmelidir.
Alıntılar
Ulusal Güvenlik Açığı Veritabanı Danışmanlığını okuyun
Patchstack Duyurusunu Okuyun