Skip to content
Menu
Beytullah Güneş
  • Ana Sayfa
  • Araçlar
    • Yapay Zekaya Sor!
    • SEO Analizi Yap
    • En Yeni SEO Analizleri
    • Domain Yaşı Sorgula
    • Google Önbellek Analiz
    • Yapılandırılmış Veri Aracı
  • Blog
    • Bilgisayar
    • Dijital Pazarlama
    • Google
    • Güvenlik
    • İnternet
    • Oyun
    • SEO
    • Sosyal Medya
    • Teknoloji ve Bilim
    • Yazılım Tasarım Kodlama
  • Hakkında
    • Beytullah Güneş Hakkında
    • İletişim
    • Sıkça Sorulan Sorular
  • Türkçe
Beytullah Güneş
WordPress Önbellek Eklentisi İstismarı 1 Milyon Web Sitesini Etkiledi

WordPress Önbellek Eklentisi İstismarı 1 Milyon Web Sitesini Etkiledi

Yazar: Beytullah Güneş | Yayın Tarihi: 22 Kasım 2021

Popüler WordPress eklentisi WP Fastest Cache eklentisi, Jetpack güvenlik araştırmacıları tarafından, bir saldırganın tam yönetici ayrıcalıklarına sahip olmasına izin verebilecek birden fazla güvenlik açığına sahip olduğu keşfedildi. İstismarlar bir milyonun üzerinde WordPress kurulumunu etkiliyor.

WP En Hızlı Önbellek Eklentisi Güvenlik Açıkları Açıklaması

WP Fastest Cache, bir milyondan fazla WordPress web sitesi tarafından kullanılan bir WordPress eklentisidir. Eklenti, web sitesinin statik bir HTML sürümünü oluşturur. Keşfedilen birden fazla güvenlik açığı var:

  • Kimliği doğrulanmış SQL Enjeksiyonu
  • Siteler Arası İstek Sahteciliği ile Depolanan XSS

Kimliği doğrulanmış SQL Enjeksiyonu

Authenticated SQL Injection, oturum açmış kullanıcıların veritabanı aracılığıyla yönetici düzeyindeki bilgilere erişmesine olanak tanır. SQL Injection güvenlik açığı, parolalar da dahil olmak üzere web sitesi öğelerinin depolandığı veritabanına yönelik bir saldırıdır. Başarılı bir SQL Injection saldırısı, web sitesinin tamamının ele geçirilmesine neden olabilir. Jetpack güvenlik bülteni, güvenlik açığının ciddiyetini açıkladı:

“Eğer istismar edilirse, SQL Injection hatası, saldırganların etkilenen sitenin veritabanındaki ayrıcalıklı bilgilere (örneğin, kullanıcı adları ve karma şifreler) erişmesine izin verebilir. Yalnızca klasik editör eklentisi de siteye yüklenip etkinleştirilirse kullanılabilir.”

Siteler Arası İstek Sahteciliği ile Depolanan XSS

XSS (Siteler Arası Komut Dosyası Oluşturma) güvenlik açıkları, web sitesine yapılan girişlerin doğrulanma biçimindeki bir kusurdan kaynaklanan biraz yaygın bir güvenlik açığıdır. Bir kullanıcının bir web sitesine bir iletişim formu gibi bir şey girebileceği herhangi bir yer, giriş temizlenmemişse bir XSS saldırısına karşı savunmasız olabilir. Temizlenmiş, betikler veya komutlar değil, metin gibi sınırlı bir beklenen girdiye yüklenebilecekleri kısıtlamak anlamına gelir. Kusurlu bir giriş, bir saldırganın, daha sonra yönetici gibi siteyi ziyaret eden kullanıcılara saldırmak ve tarayıcılarına kötü amaçlı dosyalar indirmek veya kimlik bilgilerini ele geçirmek gibi şeyler yapmak için kullanılabilecek kötü amaçlı komut dosyaları eklemesine olanak tanır.

ilgili konu  Türk Telekom’dan Açıklama: Siber Saldırılar Çok Ciddi Boyutta

Siteler Arası İstek Sahteciliği, bir saldırganın, oturum açmış bir yönetici gibi bir kullanıcıyı siteyi ziyaret etmesi ve çeşitli eylemler gerçekleştirmesi için kandırmasıdır. Bu güvenlik açıkları, yüklenen klasik düzenleyici eklentisine ve saldırganın bir tür kullanıcı kimlik doğrulamasına sahip olmasına bağlıdır, bu da istismarı zorlaştırır. Ancak bu güvenlik açıkları hala ciddidir ve Jetpack, kullanıcıların eklentilerini WP Fastest Cache’nin en az 0.95 sürümüne yükseltmelerini önerir. WP Fastest Cache sürüm 0.95, 14 Ekim 2021’de yayınlandı. Jetpack’e göre:

“Eğer istismar edilirse, SQL Injection hatası, saldırganların etkilenen sitenin veritabanındaki ayrıcalıklı bilgilere (örneğin, kullanıcı adları ve karma şifreler) erişmesine izin verebilir. CSRF ve Stored XSS güvenlik açığından başarıyla yararlanmak, kötü niyetli kişilerin hedefledikleri oturum açmış yöneticinin hedeflenen sitede yapmasına izin verilen herhangi bir eylemi gerçekleştirmesine olanak sağlayabilir.”

Jetpack Güvenlik Araştırması Uyarısı

Jetpack’teki güvenlik araştırmacıları, tüm WP Fastest Cache WordPress eklentisi kullanıcılarının eklentilerini hemen güncellemelerini tavsiye ediyor. Jetpack güvenlik araştırmacıları şunları yayınladı:

“Sitenizin WP Fastest Cache eklentisinin hangi sürümünü kullandığını kontrol etmenizi ve 0.9.5’ten düşükse en kısa sürede güncellemenizi öneririz!”

WordPress Önbellek Eklentisi İstismarı 1 Milyon Web Sitesini Etkiledi
WordPress Önbellek Eklentisi İstismarı 1 Milyon Web Sitesini Etkiledi
  • wordpress eklentisi arama
  • wordpress eklentisi nasıl kurulur
  • wordpress eklentisi nasıl yapılır

Bir cevap yazın Cevabı iptal et

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

  • WordPress Güvenlik Eklentisi Güvenlik Açığı
    WordPress Güvenlik Eklentisi Güvenlik Açığı
  • Google Sahte Yerel İşletme Yorumları
    Google Sahte Yerel İşletme Yorumları
  • Yoast SEO WordPress Erişilebilirlik Eklentisi
    Yoast SEO WordPress Erişilebilirlik Eklentisi
  • Google Arama Güncellemeleri
    Google Arama Güncellemeleri
  • Açık Kaynak ChatGPT Klonu
    Açık Kaynak ChatGPT Klonu

SEO ARAÇLARI

  • SEO Analizi Yap
  • En Yeni SEO Analizleri
  • Domain Yaşı Sorgula
  • Google Önbellek Analiz
  • Yapılandırılmış Veri Aracı
  • Yapay Zekaya Sor!

KATEGORİLER

  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • Oyun
  • SEO
  • Sosyal Medya
  • Teknoloji ve Bilim
  • Yazılım Tasarım Kodlama

Başlıca

  • Ana Sayfa
  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • SEO

Kurumsal

  • Beytullah Güneş Hakkında
  • Sıkça Sorulan Sorular
  • Kullanım Koşulları
  • Çerez Politikası
  • Gizlilik politikası
  • KVKK
  • Beytullah Güneş İletişim

Sosyal

  • Facebook
  • Twitter
  • Instagram
  • Linkedin

Beytullah Güneş İletişim

[email protected]

Beytullah Güneş, BTK onaylı bir yer sağlayıcı olarak içerikleri kontrol etme ya da araştırma yükümlülüğü yoktur. Hukuka aykırı olduğunu düşündüğünüz içerikleri lütfen bize BURADAN bildiriniz.

Copyright © 2012 Beytullah Güneş by GNSnetwork. All Rights Reserved