Cuma, Ekim 7, 2022
Ana Sayfa Webmaster WordPress Core 6.0.2 Güvenlik ve Bakım Sürümü Yayımlandı – İşte Bilmeniz Gerekenler

WordPress Core 6.0.2 Güvenlik ve Bakım Sürümü Yayımlandı – İşte Bilmeniz Gerekenler

WordPress Core 6.0.2 Güvenlik ve Bakım Sürümü
WordPress Core 6.0.2 Güvenlik ve Bakım Sürümü

30 Ağustos 2022’de, WordPress çekirdek ekibi, Bağlantılar işlevindeki Yüksek Önem Derecesinde SQLi güvenlik açığı ve iki Orta Önem Derecesinde Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı dahil olmak üzere 3 güvenlik açığı için yamalar içeren WordPress 6.0.2 sürümünü yayımladı.

Bu yamalar, 3.7’den beri WordPress’in her sürümüne desteklenmiştir.

WordPress, WordPress 3.7’den bu yana güvenlik sürümleri için otomatik temel güncellemeleri desteklemektedir ve WordPress sitelerinin büyük çoğunluğu, önümüzdeki 24 saat içinde WordPress’in ana sürümleri için otomatik olarak bir yama alacaktır.

Sitenizin yamalı sürümlerden birine otomatik olarak güncellendiğini doğrulamanızı öneririz. Yamalı sürümler, 3.7’den bu yana WordPress’in her ana sürümü için mevcuttur, böylece uyumluluk sorunlarını riske atmadan güncelleme yapabilirsiniz. Siteniz otomatik olarak güncellenmediyse manuel olarak güncellemenizi öneririz.

Güvenlik Açığı Analizi

Bu güvenlik açıklarının, kötüye kullanılması gereken özel durumlar nedeniyle, kötüye kullanım için hedeflenme olasılığının düşük olduğunu belirledik. Çoğu durumda bu güvenlik açıkları, bir yöneticininki gibi yükseltilmiş ayrıcalıklar veya ayrı bir güvenlik açığı veya kötü amaçlı eklentinin varlığını gerektirir.

Bununla birlikte, güvenlik duvarı, yönetici ayrıcalıkları gerektirmeyen herhangi bir istismara karşı koruma sağlamalıdır.

Neredeyse tüm durumlarda, yöneticiler zaten maksimum erişim düzeyine sahiptir ve bu erişim düzeyine sahip saldırganların, yapılandırma değişiklikleri yapmak veya hassas bilgileri elde etmek için daha basit yollar hazır olduğunda, karmaşık ve zor açıklardan yararlanma olasılığı düşüktür.


Açıklama: Bağlantılar yoluyla SQL Enjeksiyonu LIMIT yan tümcesi
Etkilenen Sürümler: WordPress Çekirdeği < 6.0.2
Araştırmacı: FVD
CVE Kimliği: Bekleyen
CVSS Puanı: 8.0 (Yüksek)
CVSS Vektörü: CVSS:3.1/AV:N/AC:H/PR:H/ UI:N/S:C/C:H/I:H/A:H
Tamamen Yamalı Sürüm: 6.0.2

Önceden “Yer İşaretleri” olarak bilinen WordPress Bağlantı işlevi, yeni WordPress kurulumlarında artık varsayılan olarak etkin değildir.

Eski sitelerde işlevsellik hala etkin olabilir; bu, WordPress’in daha yeni sürümlerini çalıştırıyor olsalar bile milyonlarca eski sitenin potansiyel olarak savunmasız olduğu anlamına gelir.

Neyse ki, güvenlik açığının yönetici ayrıcalıkları gerektirdiğini ve varsayılan bir yapılandırmada bu güvenlik açığından yararlanmanın zor olduğunu gördük.

3. taraf eklentileri veya temaları, bu güvenlik açığının editör düzeyindeki veya daha düşük seviyeli kullanıcılar tarafından kullanılmasına izin verebilir ve bu durumlarda güvenlik duvarı, bu tür istismar girişimlerini engeller.

WordPress’in güvenlik açığı bulunan sürümleri, yalnızca belirli sayıda bağlantının döndürülmesini sağlamak için kullanılan işlevdeki bağlantı alma sorgusunun argümanını başarıyla temizleyemedi.

Varsayılan bir yapılandırmada, yalnızca Bağlantılar eski pencere aracı , bu bağımsız değişkenin bir kullanıcı tarafından ayarlanmasına izin verecek şekilde işlevi çağırır.

Eski widget’lar ek güvenlik önlemleri içerir ve sorgunun enjeksiyon noktasının kendisi ek zorluklar ortaya çıkararak bu güvenlik açığından yararlanılmasını önemsiz hale getirir.limitget_bookmarksget_bookmarks


Açıklama:the_meta Contributor+ İşlev kullanımı yoluyla Depolanan Siteler Arası Komut Dosyası
Etkilenen Sürümler: WordPress Çekirdeği
Araştırmacı: John Blackbourn
CVE Kimliği: Bekleyen
CVSS Puanı: 4.9 (Orta)
CVSS Vektörü: CVSS:3.1/AV:N/AC:H /PR:L/UI:N/S:C/C:L/I:L/A:N
Tamamen Yamalı Sürüm: 6.0.2

Katkıda Bulunanlar, Editörler, Yazarlar ve Yöneticiler gibi WordPress içerik oluşturucuları, oluşturulan herhangi bir sayfaya ve gönderiye özel alanlar ekleme yeteneğine sahiptir.

Bunun amacı, site içerik oluşturucularının gönderilere ve sayfalara ek veriler eklemesini ve ilişkilendirmesini mümkün kılmaktır.

WordPress, site sahiplerinin oluşturulan ve gönderiler ve sayfalarla ilişkilendirilen özel alanları görüntülemek için kullanabileceği çeşitli işlevlere sahiptir.

Bu işlevlerden biri, ve işlevleri the_metaaracılığıyla, gönderi meta verileri olarak depolanan, sağlanan gönderi veya sayfanın özel alan verilerini alan işlevdir.

Bir gönderi/sayfa için özel alanlar alındıktan sonra, işlev, post meta anahtarlarını ve değer verilerini bir liste olarak çıkarır.

Ne yazık ki, 6.0.2’den daha eski sürümlerde, bu veriler çıktıda çıkışsızdı, bu da post meta anahtarlarına ve değerlerine enjekte edilen komut dosyalarının yürütülmesini mümkün kıldı.get_post_custom_keysget_post_custom_values

Gönderi düzenleyiciye erişimi olan herhangi bir kullanıcının özel meta alanlar ekleyebilmesi nedeniyle, katkıda bulunanlar gibi düzenleyiciye erişimi olan kullanıcılar, bu işlevin çağrıldığı herhangi bir sayfada veya gönderide yürütülen kötü amaçlı JavaScript’i enjekte edebilir.

the_metaWordPress çekirdeği, varsayılan olarak kod tabanında herhangi bir yeri aramaz. Bu güvenlik açığı, işlevi çağıran bir eklenti veya tema gerektirdiğinden the_metaveya bu işlevin yürütülmek üzere bir PHP dosyasına programlı olarak eklenmesi gerektiğinden, site sahiplerinin büyük çoğunluğu bu sorundan etkilenmez. İşlev the_meta6.0.2’den itibaren kullanımdan kaldırılmıştır ve get_post_metaönerilen alternatiftir.


Açıklama: Eklenti Devre Dışı Bırakma ve Silme ile Depolanan Siteler Arası Komut Dosyası Hataları
Etkilenen Sürümler: WordPress Çekirdeği
Araştırmacı: ​​Khalilov Moe
CVE Kimliği: Bekleyen
CVSS Puanı: 4.7 (Orta)
CVSS Vektörü: CVSS:3.1/AV:N/ AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N
Tam Yamalı Sürüm: 6.0.2

Son güvenlik açığı, bir hata nedeniyle bir eklenti devre dışı bırakıldığında veya bir hata nedeniyle bir eklenti silinemediğinde görüntülenen hata mesajlarını içerir.

Bu hata mesajlarından çıkış yapılmadığından, bu hata mesajlarında bulunan herhangi bir JavaScript, eklentiler sayfasını ziyaret eden bir yöneticinin tarayıcı oturumunda yürütülür.

Bu güvenlik açığı, siteye ayrı bir kötü amaçlı veya güvenlik açığı bulunan eklentinin veya başka bir kodun yüklenmesini gerektirir ve bu da genellikle bir yöneticinin bunu kendisinin yüklemesini gerektirir.

Bu güvenlik açığından yararlanılabilecek hemen hemen tüm durumlarda, bir saldırganın güvenlik açığı bulunan sitede zaten sağlam bir dayanağı olacaktır.

RELATED ARTICLES

TLD nedir?

TLD nedir? TLD, üst düzey alan adı anlamına gelir ve alan adının '.com', '.org,' '.gov' ve '.edu' vb. gibi son noktadan sonra gelen parçasıdır. Örneğin, Facebook.com...

Alan Adı (Domain) nedir?

Alan Adı (Domain) nedir? Alan adı fiziksel bir adres gibidir. İnsanlar sizi World Wide Web'de bulur. Alan adı fiziksel bir adres gibiyse, sunucu da fiziksel bir bina...

Google, Arama Konsoluna Yeni HTTPS Raporu Ekledi

Google, yeni bir güncelleme sunmaya başlayacağını duyurdu. HTTPS raporu olarak Arama Konsolu’nda olacak. Duyuru Google’dan geldi Merkez Blog’da Ara ve arama motorunun başlatma sürecinin...

Most Popular

Google, 85 Milyon Dolarlık Tüketici Gizliliği Davasını Çözdü

Google'ın ana şirketi Alphabet Inc., Arizona eyaleti tarafından açılan bir tüketici mahremiyeti davasını sonlandırmak için 85 milyon dolar ödeyecek. Arama motorunun eyaletteki Tüketici Dolandırıcılık Yasasını...

iPhone 14 Pro’da ProRAW Çözünürlüğü 48MP’den 12MP’ye Nasıl Değiştirilir

Apple, geçtiğimiz ay iPhone 14 ve iPhone 14 Pro modellerini hemen hemen tüm departmanlarda büyük değişikliklerle piyasaya sürdü. Genel tasarım dili geçen yılkiyle aşağı...

Apple, Renkli Titanyum Alaşımlı Kaplamaları Gelecekte Daha Fazla Ürüne Getirecek

Apple, bu yıl hiçbir iPhone 14 modeli için titanyum alaşımlı bir kaplama kullanmadı, ancak Apple Watch Ultra'yı duyururken malzemeyi tanıttı. En son patente göre,...

Pixel 7 Pro AnTuTu’da Kıyaslandı, Amiral Gemisinin Tensor G2’si Snapdragon 888, A15 Bionic Tarafından Yenildi

Google'ın resmi duyurusundan önce, Pixel 7 Pro adımlarını attı ve birileri AnTuTu karşılaştırmasını amiral gemisinde de çalıştırmayı başardı. Ne yazık ki, akıllı telefonun iç...

Recent Comments