Çok Kullanılan Wordpress Eklentisinde Güvenlik Açığı Keşfedildi

WordPress tabanlı yüzbinlerce sitede kullanılan popüler bir WordPress eklentisinde güvenlik açığı tespit edildi!

200.000’den fazla etkin yüklemeye sahip popüler bir WordPress tema eklentisi, eşleştirilmediği takdirde kimliği doğrulanmamış uzak saldırganların çok çeşitli web sitelerini ve blogları tehlikeye atabileceği ciddi ancak kullanımı kolay bir yazılım güvenlik açığı içerir.

Söz konusu savunmasız eklenti , yazılım geliştirme şirketi ThemeGrill tarafından satılan ücretsiz ve premium temalar ile birlikte gelen ‘ ThemeGrill Demo Importer ‘isimli eklenti.

ThemeGrill Demo İçe Aktarıcı eklentisi, WordPress site yöneticilerinin ThemeGrill’den demo içeriği, widget’lar ve ayarları içe aktarmalarına izin verecek şekilde tasarlanmıştır, bu da temayı hızlı bir şekilde özelleştirmelerini kolaylaştırır.

Hacker News ile paylaşılan bir WebARX güvenlik şirketi raporuna göre, bir ThemeGrill teması yüklendiğinde ve etkinleştirildiğinde, etkilenen eklenti, kodu çalıştıran kullanıcının kimliğinin doğrulanıp doğrulanmadığını ve yönetici olup olmadığını kontrol etmeden bazı işlevleri yönetici ayrıcalıklarıyla yürütür.


Kusur, sonuçta kimliği doğrulanmamış uzak saldırganların hedeflenen web sitelerinin tüm veritabanını varsayılan durumuna silmesine izin verebilir, bundan sonra otomatik olarak yönetici olarak oturum açarak siteler üzerinde tam kontrol sahibi olmalarını sağlayabilir.

“Burada (ekran görüntüsünde) kimlik doğrulama kontrolü olmadığını görüyoruz ve /wp-admin/admin-ajax.php dahil olmak üzere WordPress’in herhangi bir ‘admin’ tabanlı sayfasında URL’de yalnızca do_reset_wordpress parametresinin bulunması gerekiyor. ”

WebARX araştırmacılarına göre, güvenlik açığı , tümü son 3 yıl içinde yayınlanan ThemeGrill Demo Importer eklentisi sürüm 1.3.4’ten 1.6.1’e kadar.

“Bu ciddi bir güvenlik açığıdır ve önemli miktarda hasara neden olabilir. Şüpheli görünen bir yük gerektirmediği için, herhangi bir güvenlik duvarının varsayılan olarak engellemesi beklenmez ve bu güvenlik açığını engellemek için özel bir kural oluşturulması gerekir, “WebARX araştırmacıları dedi.

Web sitelerini üçüncü taraf bileşen güvenlik açıklarından korumak için güvenlik açığı algılama ve sanal yama yazılımı sağlayan WebARX. bu güvenlik açığını iki hafta önce, 16 Şubat’ta yamalı 1.6.2 sürümünü yayımlayan ThemeGrill geliştiricilerine bildirmiştir.

WordPress Dashboard, bir eklentinin güncellenmesi gerektiğinde yöneticileri otomatik olarak bilgilendirir, ancak eklenti güncelleştirmelerinin otomatik olarak yüklenmesini de seçebilirsiniz manuel işlem bekliyor.

Ne Düşünüyorsunuz?
+1
0
+1
0
+1
0
+1
0
+1
0
Exit mobile version