Cuma, Mart 29, 2024
Ana Sayfa web3 Kısa Kodlarda WordPress Güvenlik Açığı Nihai Etki 700.000 Siteyi Etkiledi

Kısa Kodlarda WordPress Güvenlik Açığı Nihai Etki 700.000 Siteyi Etkiledi

- Advertisement -

Amerika Birleşik Devletleri hükümeti Ulusal Güvenlik Açığı Veritabanı (NVD), Shortcodes Ultimate WordPress eklentisi hakkında bir danışma belgesi yayınlayarak, Siteler Arası İstek Sahteciliği güvenlik açığı içerdiğinin keşfedildiği konusunda uyarıda bulundu.

Shortcodes Ultimate, 700.000’den fazla aktif kuruluma sahip oldukça popüler bir WordPress eklentisidir.

Güvenlik açığı, mevcut 5.12.2 sürümünden daha eski olan eklenti sürümlerini etkiler.

Siteler Arası İstek Sahteciliği Güvenlik Açığı

Genellikle CSRF olarak adlandırılan Siteler Arası İstek Sahteciliği, en kötü durumlarda web sitesinin tamamen ele geçirilmesine yol açabilecek bir tür güvenlik açığıdır.

Bu tür güvenlik açıklarına genellikle yazılımdaki bir değişikliği tetikleyebilecek ve daha sonra istenmeyen sonuçlara yol açabilecek bir kusurun hedeflenmesi neden olur.

Başarılı bir saldırı genellikle, örneğin yönetici ayrıcalıklarına sahip, bir bağlantıya tıklamak ve daha sonra o kişinin kimliğine bürünmek için kullanılabilecek bir oturum tanımlama bilgisi gibi bilgileri istemeden ifşa etmek gibi bir kullanıcıya bağlıdır.

Bu tür bir güvenlik açığı, son kullanıcıyı bir eylemi tamamlaması için manipüle eden ve ardından eklenti güvenlik açığından yararlanan sosyal mühendisliğe bağlıdır.

Açık Web Uygulama Güvenliği Projesi (OWASP) göre:

“CSRF, kurbanı kötü niyetli bir istek göndermesi için kandıran bir saldırıdır.

Mağdur adına istenmeyen bir işlevi yerine getirmesi mağdurun kimliğini ve ayrıcalıklarını devralır…

Çoğu site için, tarayıcı istekleri, kullanıcının oturum tanımlama bilgisi, IP adresi, Windows etki alanı kimlik bilgileri vb. gibi siteyle ilişkili tüm kimlik bilgilerini otomatik olarak içerir.

Bu nedenle, kullanıcının sitede kimliği doğrulanmışsa, sitenin mağdur tarafından gönderilen sahte istek ile mağdur tarafından gönderilen meşru bir istek arasında ayrım yapması mümkün olmayacaktır.”

Ulusal Güvenlik Açığı Veritabanı (NVD)

Ulusal Güvenlik Açığı Veritabanı, güvenlik açığı hakkında yalnızca birkaç ayrıntı yayınladı. Şu anda güvenlik açığının kendisinin tam bir dökümü yok.

NVD danışma belgesi aşağıdakileri yayınladı:

“Kısa Kodlar Ultimate eklentisinde <= 5.12.0 WordPress’te Siteler Arası İstek Sahteciliği (CSRF) güvenlik açığı, eklenti ön ayar ayarlarının değişmesine neden oluyor.”

Resmi Kısa kodlar Ultimate GitHub değişiklik günlüğü benzer şekilde belirsizdi ve güvenlik açığını gidermek için yapılan güncellemeyi açıklıyordu:

“### 5.12.1

**Güvenlik sürümü**

Bu güncelleme, kısa kod oluşturucudaki bir güvenlik açığını giderir. Bunu keşfettiği için Dave John’a teşekkürler.”

Bu arada WordPress eklenti deposu değişiklik günlüğü açıklamak:

“Önceki güncellemede tanıtılan Kısa Kod Oluşturucu Ön Ayarları ile ilgili sorun düzeltildi”

Yukarıdaki değişiklik günlüğü, doğru yazılmış olan güvenlik araştırmacısının adını yanlış yazmış gibi görünüyor.

Önerilen Eylem Planı

Şu anda Shortcodes Plugin kullanan WordPress yayıncıları, şu anda 5.12.2 sürümü olan en son sürüme güncelleme yapmayı düşünmelidir.

Alıntılar

Ulusal Güvenlik Açığı Veritabanı Danışmanlığını okuyun

CVE-2022-38086 Detay

Patchstack Duyurusunu Okuyun

WordPress Kısa Kodlar Ultimate eklentisi <= 5.12.0 – Siteler Arası İstek Sahteciliği (CSRF) güvenlik açığı

BENZER YAZILAR

Salih Bademci Kimdir – Salih Bademci Biyografisi

Salih Bademci Kimdir - Salih Bademci Resimleri - Salih Bademci Biyografisi - Salih Bademci Hakkında    Salih Bademci, 15 Ağustos 1984 Serdar Akar'ın Barda filminde ve yine...

AB, Apple Gibi Şirketleri Tüm Cihazlarında USB-C Kullanmaya Zorlayacak Yasaya ‘Nihai Onay’ Verdi

Apple dahil tüm şirketlerin USB-C standardını geniş bir cihaz yelpazesinde benimsemesini gerektiren yasa, Avrupa Birliği'nden nihai onay aldı. Kısacası, 2024'ün sonunda, teknoloji devlerinin tescilli...

LG Energy, tedarikçilerin potansiyel pil yangınlarının maliyetini üstlenmesini istiyor

Teşvik olarak uzun vadeli sözleşmeler sunan pil üreticisi LG Energy Solution, şirket pil yangınları gibi sorunlarla karşılaştığında maliyeti tedarikçilerine yüklemeyi hedefliyor. Tedarikçiler için bir teşvik olarak,...

POPÜLER YAZILAR

Lazer Hassasiyeti, NASA’nın Navigasyon Doppler Lidar’ı ile Ay Keşifleriyle Buluşuyor

NASAAy gösterisi için hazırlanan Navigasyon Doppler Lidar teknolojisi, uzay araştırmalarının ötesinde sonuçları olan iniş teknolojisindeki ilerlemeleri vurguluyor. Bu ayın sonlarında, NASA'nın ticari ay teslimat hizmetleri...

Ay, Mars ve Ötesi için Öncü Fisyon Enerjisi

NASA özerklik, güvenlik ve uzun vadeli çalışmaya odaklanarak Ay için bir nükleer fisyon reaktörü geliştirmeye yönelik Fisyon Yüzey Enerjisi Projesi ile ilerliyor. Bu çaba,...

Yeni Nesil OLED Teknolojisinin Arkasındaki Sır

Durham Üniversitesi'ndeki bilim adamlarının yeni bir araştırması, daha parlak, daha verimli ve daha kararlı mavi organik ışık yayan diyotlara (OLED'ler) doğru beklenmedik bir yolu...

SEC’in X hesabı, Bitcoin ETF onayına ilişkin sahte haberler yayınlamak için saldırıya uğradı

Birisi, ABD Menkul Kıymetler ve Borsa Komisyonu'nun (SEC) X (eski adıyla Twitter) hesabını ele geçirdi ve kurumun, kayıtlı ulusal güvenlik borsalarında Bitcoin ETF'lerinin (borsada...