Skip to content
Menu
Beytullah Güneş | SEO Tasarım Dijital Pazarlama
  • Ana Sayfa
  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • SEO
Beytullah Güneş | SEO Tasarım Dijital Pazarlama

Bu açık 1 milyon wordpress sitesini ilgilendiriyor

Yayınlanma Tarihi 2 Mart 2017

WordPress içerik yönetimi sisteminden faydalanan 1 milyon web sitesi, yeni bir keşfe göre “ciddi” bir güvenlik açığına maruz kalmış olabilir.

Güvenlik açığı, 1 milyondan fazla kişinin kullandığı NextGEN Gallery eklentisinde yer alıyor. Açık geçtiğimiz günlerde onarıldı ancak öncesinde saldırganların sisteme SQL sorgusu göndermesine izin veriyordu. Saldırganlar, belirli koşullar altında bu açıktan faydalanarak web sunucusunun backend veritabanına güçlü komutlar gönderebiliyorlardı. Web güvenliği firması Sucuri’den güvenlik araştırmacısı Slavco Mihajloski, blog’unda bu açığın “oldukça kritik” olduğunu söylüyor ve eklentinin güvenlik açığı taşıyan sürümünü kullananların bir an önce onu güncellemesini öneriyor.

Teknik Detaylar

Saldırganların açıktan faydalanabilmesi için PHP programlama dilinde $container_ids olarak bilinen diziyi oluşturmaları gerekiyor. Güvenilmeyen ziyaretçilerin bunun için galeri URL’sinde küçük değişiklikler yapması yetiyor. Bunun ardından saldırgan, SQL isteğine ek sprintf/printf direktifleri ekleyebiliyor ve $wpdb->prepare’i kullanarak kendine kontrol olanağı sunabiliyor.
Saldırının çalışabilmesi için web sitesinin gönderileri gözden geçirme işlevini etkinleştirmiş olması gerekiyor. Bu durumda saldırgan, sitede bir hesap oluşturup, içerisinde kötü niyetli kod bulunan NextGEN Gallery kodlarını kullanabiliyor.
Sucuri’nin açığın ciddiyet oranı olarak 10 üzerinden 9 verdiği sorun, eklentinin 2.1.79 sürümünde onarıldı. Eklentinin changelog’unda açıktan bahsedilmediği için tehdidin ne kadar yaygın olduğu bilinmiyor.

Kaynaklar:
(*) Chip İnternet
(*) sucuri blog

ilgili konu  Genç hackerlara 6 ile 10 bin tl arası maaş

Bir cevap yazın Cevabı iptal et

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Beytullah GÜNEŞ

Beytullah GÜNEŞ

GNSNetwork Founder

beytullahgunes.com ve GNSNetwork kurucusu. 2012 yılından bu yana aktif olarak web tasarım, geliştirme ve SEO alanında hizmet vermekte. 2019 yılından bu yana hizmetlerini GNSNetwork üzerinden sunmayı sürdürmektedir.

Yeni Neler Var?

  • Sosyal Medya Algoritmaları ve Nasıl Çalıştıklarına Yönelik Bir Kılavuz
  • Googlebot İlk 15 MB HTML İçeriğini Tarar ve Dizine Ekler
  • Genel Web Verileri Küçük İşletme SEO Stratejilerine Nasıl Yardımcı Oluyor?
  • Shopify, 100’den Fazla Yeni Güncelleme ve Özelliği Açıkladı
  • Google, Yapılandırılmış Verilerdeki URL’leri Tarıyor mu?

Kategoriler

  • Bilgisayar (55)
  • Dijital Pazarlama (207)
  • Google (286)
  • Güvenlik (162)
  • İnternet (198)
  • Köşe Yazıları (17)
  • Oyun (22)
  • SEO (448)
  • Sosyal Medya (367)
  • Teknoloji ve Bilim (125)
  • Yazılım Tasarım Kodlama (157)

Kurumsal

  • Hakkında
  • Sıkça Sorulan Sorular
  • Kullanım Koşulları
  • Çerez Politikası
  • Gizlilik politikası
  • KVKK
  • İletişim

Başlıca

  • Ana Sayfa
  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • SEO

Kurumsal

  • Hakkında
  • Sıkça Sorulan Sorular
  • Kullanım Koşulları
  • Çerez Politikası
  • Gizlilik politikası
  • KVKK
  • İletişim

Sosyal

  • Facebook
  • Twitter
  • Instagram
  • tumblr
  • Linkedin

İletişim

[email protected]

Mutfaktan Yemek Tarifi | Kullanıcı Yorumluyor | Güzel Anlamlı Sözler | Açıklanamayan Doğaüstü Olaylar

DMCA compliant image btk
GNS Network - SEO Tasarım Reklamcılık
Go to mobile version