2 Binden Fazla WordPress Web Sitesi Eklenti Hatası Nedeniyle Hacklenmeye Açık

Güvenlik açığı raporuna yanıt olarak, eklentinin yaratıcıları sorunu çözmeyi amaçlayan yeni bir sürüm olan 2.6.4'ü derhal yayınladılar.

2 yüz binden fazla WordPress web sitesi, kötü niyetli kişiler tarafından aktif olarak istismar edilen kritik bir yamalanmamış güvenlik açığı nedeniyle hacklenme riski altında.

WordPress güvenlik firması WPScan'e göre hata, WordPress ile güçlü çevrimiçi topluluklar ve üyelik siteleri oluşturmayı kolaylaştıran ücretsiz bir kullanıcı profili WordPress eklentisi olan Ultimate Member eklentisinde mevcut.

Güvenlik firması, "Bu çok ciddi bir sorundur çünkü kimliği doğrulanmamış saldırganlar bu güvenlik açığından yararlanarak yönetici ayrıcalıklarına sahip yeni kullanıcı hesapları oluşturabilir ve bu da onlara etkilenen sitelerin kontrolünü tamamen ele geçirme gücü verir" uyarısında bulundu.

Firma, "bu soruna tam bir çözüm bulunmadığını" ve endişe verici bir şekilde, "bu sorunun kötü niyetli aktörler tarafından aktif olarak istismar edildiğine dair göstergeler olduğunu" da sözlerine ekledi.

Güvenlik açığı raporuna yanıt olarak, eklentinin yaratıcıları sorunu çözme niyetiyle derhal 2.6.4 adlı yeni bir sürüm yayınladılar.

WPScan ekibi, "Ancak, bu güncellemeyi araştırdıktan sonra, önerilen yamayı atlatmak için çok sayıda yöntem bulduk, bu da sorunun hala tamamen istismar edilebilir olduğunu gösteriyor" dedi.

Eklenti, kullanıcıların manipüle etmemesi gereken kullanıcı meta veri anahtarlarının önceden tanımlanmış bir listesini kullanarak çalışır.

Kullanıcıların bir hesap oluştururken bu anahtarları kaydetmeye çalışıp çalışmadığını kontrol etmek için bu listeyi kullanır.

"Ne yazık ki, Ultimate Member'ın engelleme listesi mantığı ile WordPress'in meta veri anahtarlarını ele alma biçimindeki farklılıklar, saldırganların eklentiyi yapmaması gereken bazı güncellemeleri yapması için kandırmasını mümkün kılmıştır."
o takım.

Güvenlik araştırmacıları, bu güvenlik sorununu tamamen gideren bir yama kullanıma sunulana kadar kullanıcıların Ultimate Member eklentisini devre dışı bırakmalarını önermektedir.

WordPress.com ve Pressable.com gibi WP.cloud ana bilgisayarlarındaki siteler, güvenlik açığını azaltmaya yardımcı olmak için platform düzeyinde bir yama almıştır.