GündemGüvenlik Açıkları

WordPress 5.1.1’in Altındaki Tüm Sürümleri Etkileyen Kritik Güvenlik Açığı!

Eğer herhangi bir nedenden dolayı WordPress içerik yönetim sisteminizi 5.1.1 sürümüne güncellemediyseniz hackerların yeni sürüm ile birlikte kapatılan açıktan faydalanmaması için bir an önce güncelleme yapmanızı tavsiye ediyoruz.

WordPress içerik yönetim sistemindeki kritik güvenlik açıklarını daha önce birçok kez bildirmiş olan araştırmacı Simon Scannell (RIPS Technologies), WordPress e yönelik uzaktan kod yürütmeye olanak sağlayabilecek yeni bir kritik güvenlik açığı bulduğunu açıklamıştı.

WordPress’in 5.1.1’den daha eski olan sürümleri etkileyen varsayılan olarak etkin halde gelen bir CSRF açığı mevcut.

CSRF Nedir?

XSRF ya da CSRF, websitelerini hedef alan kötü niyetli bir exploit türüdür. XSRF ile websitesinin güvendiği bir kullanıcı üzerinden, websitesine izin verilmeyen ya da kullanıcının farkında olmadığı komutlar gönderilir.

WordPress’e yönelik rapor edilmiş daha önceki saldırıların aksine, bu yeni bir açık ve sistemde uzaktan kod yürütmeye olanak sağlıyor. Kimliği doğrulanmamış saldırganlar sistemdeki açıktan faydalanabilir.

Bu açığın ‘Yorumlar’ ile ilgili olduğundan söz edilmekte ki bu durumu daha da kötü yapıyor nitekim WordPress’te yorumlar direkt olarak etkin gelen bir özellik yani varsayılan olarak gelmekte.

Yorum özelliği zaten wordpress ile blog sahibi olanların kullandığı temel bir özellik. Hal böyle olunca bahsedilen güvenlik açığının milyonlarca kullanıcıyı etkileyebileceği söz konusu.

Saldırganlar bu açıktan faydalanarak neler yapabilir?

WordPress’te bu açıktan faydalanabilen saldırganlar yönetici adına bir yorum gönderebilir. Saldırganların hedeflenen wordpress sistemini uzaktan kontrol etmesini sağlayan bir iFrame açmasını sağlar.

iFrame Nedir?

iFrame, bir sayfanın içerisine farklı bir internet sayfasını çağırıp, görüntülemenize yardımcı olan bir HTML etiketidir. Iframe kodunu kullanarak bir sayfa içerisinde başka bir web sitesini veya başka bir web sitesinin bir sayfasının görüntülenmesini sağlayabilirsiniz.

Güvenlik araştırmacılarına göre bu açıktan faydalanan hackerlar, WordPress sistemini tamamen etkileyecek şekilde XSS’den faydalanabilir.

XSS Nedir?

Siteler Arası Betik Çalıştırma, genellikle web uygulamalarında bulunan bir tür bilgisayar güvenlik açıklığıdır. XSS, diğer kullanıcılar tarafından görüntülenen web sayfalarına istemci taraflı kodun enjekte edilmesine imkan verir.

Neyse ki güvenlik araştırmacısı Scannell, 5.1.1 ile birlikte WordPress’e Çarşamba günü, kararlı bir güncelleme geldiğini belirtti.

Etiketler
Daha Fazla Göster

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir