Cuma, Ekim 7, 2022
Ana Sayfa Webmaster WordPress Gutenberg Eklentisinde Güvenlik Açığı Bulundu mu?

WordPress Gutenberg Eklentisinde Güvenlik Açığı Bulundu mu?

Amerika Birleşik Devletleri hükümetinin Ulusal Güvenlik Açığı Veritabanı, resmi WordPress Gutenberg eklentisinde keşfedilen bir güvenlik açığıyla ilgili bir bildirim yayınladı. Ancak onu bulan kişiye göre, WordPress’in bunun bir güvenlik açığı olduğunu kabul etmediği söyleniyor.

Depolanan Siteler Arası Komut Dosyası Çalıştırma (XSS) Güvenlik Açığı

XSS, birisi normalde bir form veya başka bir yöntemle izin verilmeyen bir komut dosyası gibi bir şey yükleyebildiğinde ortaya çıkan bir tür güvenlik açığıdır.

Çoğu form ve diğer web sitesi girdileri, güncellenenlerin beklendiğini doğrulayacak ve tehlikeli dosyaları filtreleyecektir.

Bir örnek, bir saldırganın kötü amaçlı bir komut dosyası yüklemesini engelleyemeyen bir görüntü yükleme formudur.

Kar amacı gütmeyen Open Web Application Security Project’e göre, yazılım güvenliğini iyileştirmeye yardımcı olmaya odaklanan bir kuruluş, başarılı bir XSS saldırısında olabilecek şey budur:

“Bir saldırgan, şüphelenmeyen bir kullanıcıya kötü amaçlı bir komut dosyası göndermek için XSS kullanabilir.

Son kullanıcının tarayıcısının, komut dosyasına güvenilmemesi gerektiğini bilmesinin hiçbir yolu yoktur ve komut dosyasını yürütür.

Komut dosyasının güvenilir bir kaynaktan geldiğini düşündüğü için kötü amaçlı komut dosyası, tarayıcı tarafından tutulan ve bu siteyle kullanılan tüm tanımlama bilgilerine, oturum belirteçlerine veya diğer hassas bilgilere erişebilir.

Bu komut dosyaları, HTML sayfasının içeriğini bile yeniden yazabilir.”

Yaygın Güvenlik Açıkları ve Etkilenmeler – CVE

CVE adlı bir kuruluş, güvenlik açıklarını belgelemenin ve keşifleri halka duyurmanın bir yolu olarak hizmet eder.

ABD İç Güvenlik Bakanlığı’nın desteklediği kuruluş, güvenlik açıklarının keşiflerini inceler ve kabul edilirse, güvenlik açığına, söz konusu güvenlik açığının kimlik numarası olarak hizmet eden bir CVE numarası atar.

Gutenberg’de Güvenlik Açığı Keşfi

Güvenlik araştırması, bir güvenlik açığı olduğuna inanılan şeyi keşfetti. Keşif CVE’ye sunuldu ve keşif onaylandı ve bir CVE ID numarası verildi, bu da keşfi resmi bir güvenlik açığı haline getirdi.

XSS güvenlik açığına CVE-2022-33994 kimlik numarası verildi.

CVE sitesinde yayınlanan güvenlik açığı raporu bu açıklamayı içerir:

“WordPress için 13.7.3’e kadar olan Gutenberg eklentisi, Katılımcı rolü tarafından bir SVG belgesi aracılığıyla “URL’den Ekle” özelliğine depolanan XSS’ye izin verir.

NOT: XSS yükü, WordPress örneğinin etki alanı bağlamında yürütülmez; ancak, düşük ayrıcalıklı kullanıcıların SVG belgelerine başvurmaya yönelik benzer girişimleri bazı benzer ürünler tarafından engellenir ve bu davranışsal farklılık, bazı WordPress site yöneticileri için güvenlikle ilgili olabilir.

Bu, Katılımcı düzeyinde ayrıcalıklara sahip birinin web sitesine kötü amaçlı bir dosya eklenmesine neden olabileceği anlamına gelir.

Bunu yapmanın yolu, resmi bir URL aracılığıyla eklemektir.

Gutenberg’de resim yüklemenin üç yolu vardır.

  1. Yükle
  2. WordPress Medya Kitaplığı’ndan mevcut bir resim seçin
  3. Resmi bir URL’den ekleyin

Bu son yöntem, güvenlik açığının nereden geldiğidir, çünkü güvenlik araştırmacısına göre, herhangi bir uzantı dosya adına sahip bir resim, yükleme özelliğinin izin vermediği bir URL aracılığıyla WordPress’e yüklenebilir.

Gerçekten Bir Güvenlik Açığı mı?

Araştırmacı, WordPress’a güvenlik açığını bildirdi. Ancak onu keşfeden kişiye göre, WordPress bunu bir güvenlik açığı olarak kabul etmedi.

Araştırmacının yazdığı şey şu:

“WordPress’te, WordPress Ekibi tarafından reddedilen ve Bilgilendirici olarak etiketlenen Stored Cross Site Scripting güvenlik açığı buldum.

Bugün güvenlik açığını bildirdiğimden bu yana 45. gün ve bunu yazarken güvenlik açığı düzeltilmedi…”

Öyle görünüyor ki, bunun bir XSS güvenlik açığı olup olmadığı konusunda WordPress’in doğru olup olmadığı ve ABD Hükümeti tarafından desteklenen CVE vakfının yanlış (veya tam tersi) olup olmadığı konusunda bir soru var.

Araştırmacı, bunun gerçek bir güvenlik açığı olduğunda ısrar ediyor ve bu iddiayı doğrulamak için CVE kabulü sunuyor.

Ayrıca, araştırmacı, WordPress Gutenberg eklentisinin bir URL üzerinden resim yüklemeye izin verdiği durumun iyi bir uygulama olmayabileceğini ima ediyor veya öneriyor, diğer şirketlerin bu tür yüklemelere izin vermediğine dikkat çekiyor.

“Öyleyse, bana nedenini söyleyin… …Google ve Slack gibi şirketler, bir URL üzerinden yüklenen dosyaları doğrulama ve SVG olduğu tespit edilirse dosyaları reddetme noktasına geldi!

…Google ve Slack… WordPress’in yaptığı gibi, SVG dosyalarının bir URL üzerinden yüklenmesine izin vermez!”

Ne yapalım?

WordPress, güvenlik açığı veya sorun oluşturduğuna inanmadıkları için güvenlik açığı için bir düzeltme yayınlamadı.

Resmi güvenlik açığı raporu, 13.7.3’e kadar olan Gutenberg sürümlerinin güvenlik açığını içerdiğini belirtir.

Ancak 13.7.3 en güncel sürümdür.

Tüm geçmiş değişiklikleri kaydeden ve ayrıca gelecekteki değişikliklerin bir açıklamasını yayınlayan resmi WordPress Gutenberg değişiklik günlüğüne göre, bu (iddia edilen) güvenlik açığı için herhangi bir düzeltme yapılmadı ve planlanmış bir şey de yok.

Yani soru, düzeltilecek bir şey olup olmadığıdır.

ABD Hükümeti Güvenlik Açığı Veritabanı Güvenlik Açığı Raporu

CVE-2022-33994 Detay

Resmi CVE Sitesinde Yayınlanan Rapor

CVE-2022-33994 Detay

Araştırmacının Bulgularını Okuyun

CVE-2022-33994:- WordPress’te Depolanan XSS

RELATED ARTICLES

TLD nedir?

TLD nedir? TLD, üst düzey alan adı anlamına gelir ve alan adının '.com', '.org,' '.gov' ve '.edu' vb. gibi son noktadan sonra gelen parçasıdır. Örneğin, Facebook.com...

Alan Adı (Domain) nedir?

Alan Adı (Domain) nedir? Alan adı fiziksel bir adres gibidir. İnsanlar sizi World Wide Web'de bulur. Alan adı fiziksel bir adres gibiyse, sunucu da fiziksel bir bina...

Google, Arama Konsoluna Yeni HTTPS Raporu Ekledi

Google, yeni bir güncelleme sunmaya başlayacağını duyurdu. HTTPS raporu olarak Arama Konsolu’nda olacak. Duyuru Google’dan geldi Merkez Blog’da Ara ve arama motorunun başlatma sürecinin...

Most Popular

Google, 85 Milyon Dolarlık Tüketici Gizliliği Davasını Çözdü

Google'ın ana şirketi Alphabet Inc., Arizona eyaleti tarafından açılan bir tüketici mahremiyeti davasını sonlandırmak için 85 milyon dolar ödeyecek. Arama motorunun eyaletteki Tüketici Dolandırıcılık Yasasını...

iPhone 14 Pro’da ProRAW Çözünürlüğü 48MP’den 12MP’ye Nasıl Değiştirilir

Apple, geçtiğimiz ay iPhone 14 ve iPhone 14 Pro modellerini hemen hemen tüm departmanlarda büyük değişikliklerle piyasaya sürdü. Genel tasarım dili geçen yılkiyle aşağı...

Apple, Renkli Titanyum Alaşımlı Kaplamaları Gelecekte Daha Fazla Ürüne Getirecek

Apple, bu yıl hiçbir iPhone 14 modeli için titanyum alaşımlı bir kaplama kullanmadı, ancak Apple Watch Ultra'yı duyururken malzemeyi tanıttı. En son patente göre,...

Pixel 7 Pro AnTuTu’da Kıyaslandı, Amiral Gemisinin Tensor G2’si Snapdragon 888, A15 Bionic Tarafından Yenildi

Google'ın resmi duyurusundan önce, Pixel 7 Pro adımlarını attı ve birileri AnTuTu karşılaştırmasını amiral gemisinde de çalıştırmayı başardı. Ne yazık ki, akıllı telefonun iç...

Recent Comments