Skip to content
Menu
Beytullah Güneş
  • Ana Sayfa
  • Araçlar
    • SEO Analizi Yap
    • En Yeni SEO Analizleri
    • Domain Yaşı Sorgula
    • Google Önbellek Analiz
    • Yapılandırılmış Veri Aracı
  • Blog
    • Bilgisayar
    • Dijital Pazarlama
    • Google
    • Güvenlik
    • İnternet
    • Oyun
    • SEO
    • Sosyal Medya
    • Teknoloji ve Bilim
    • Yazılım Tasarım Kodlama
  • Hakkında
    • Hakkında
    • İletişim
    • Referanslar
    • Sıkça Sorulan Sorular
Beytullah Güneş
WordPress Facebook Akışı Eklentisi Güvenlik Açığı

WordPress Facebook Akışı Eklentisi Güvenlik Açığı

Yayınlanma Tarihi 6 Aralık 2021 | Kategori Güvenlik

İçindekiler

  • Smash Balloon Social Post Feed
  • Keyfi Ayar Güncellemesi ile Depolanan Siteler Arası Komut Dosyası
  • Ayrıcalık ve Olmayan Denetimler
  • Önerilen eylem

Bir WordPress eklentisi olan Smash Balloon Social Post Feed’in, web sitelerini bir saldırganın kötü amaçlı komut dosyaları yüklemesine izin vermesine neden olan bir güvenlik açığına sahip olduğu keşfedildi. Jetpack’teki güvenlik araştırmacıları, güvenlik açığını keşfetti ve eklenti yayıncılarına bunu yamalayan ve sabit bir sürüm olan 4.0.1 sürümünü yayınlayan bildirimde bulundu. Bundan önceki sürümler savunmasızdır.

Smash Balloon Social Post Feed

Smash Balloon Social Post Feed WordPress eklentisi, Facebook beslemelerini alır ve bunları bir WordPress sitesindeki gönderilere dönüştürür. Eklentinin ücretsiz sürümü, Facebook gönderilerini, Facebook içeriğinin yeniden yayınlandığı sitenin görünümü ve hissi ile eşleşecek şekilde görüntülemek için tasarlanmıştır. Ücretli “profesyonel” sürüm ayrıca resimleri, videoları ve yorumları yeniden yayınlar.

Keyfi Ayar Güncellemesi ile Depolanan Siteler Arası Komut Dosyası

Depolanan Siteler Arası Komut Dosyası Çalıştırma açığı (Depolanmış XSS), kötü niyetli bir saldırganın zararlı komut dosyalarını sunucunun kendisinde yüklemesine ve kalıcı olarak depolamasına olanak tanıyan bir tür siteler arası komut dosyası çalıştırma güvenlik açığıdır. Kar amacı gütmeyen Open Web Application Security Project (OWASP), Stored XSS güvenlik açıklarını açıklar:

“Depolanmış saldırılar, enjekte edilen komut dosyasının bir veritabanı gibi hedef sunucularda kalıcı olarak depolandığı saldırılardır…. Kurban, saklanan bilgileri istediğinde sunucudan kötü amaçlı komut dosyasını alır.

Ayrıcalık ve Olmayan Denetimler

Jetpack tarafından yayınlanan güvenlik uyarısı, Smash Balloon Social Post Feed WordPress eklentisinin bir güvenlik sorunu haline gelmesine neden olan iki güvenlik sorunu olduğunu duyurdu. Ayrıcalık ve Nonce kontrolleri eksikti. XSS saldırıları, genellikle bir WordPress sitesine bir şey yüklemenin veya girmenin bir yolu olan her yerde gerçekleşebilir. Bir form aracılığıyla, yorumlarda, kullanıcının veri girebildiği her yerde olabilir. Bir WordPress eklentisinin, bir kullanıcının sahip olduğu ayrıcalık düzeyine (abone, düzenleyici, yönetici) ilişkin bir kontrol de dahil olmak üzere, kontroller gerçekleştirerek siteyi koruması gerekir. Uygun bir ayrıcalık denetimi olmadan, bir abone gibi en alt düzeydeki bir kullanıcı, yönetici düzeyi ayrıcalıkları gibi normalde en yüksek düzeyde erişim gerektiren eylemleri gerçekleştirebilir. Nonce, girdileri saldırılara karşı koruma amaçlı tek kullanımlık bir güvenlik belirtecidir. WordPress N Once Documentation , nonce’ların değerini açıklar:

“Temanız, kullanıcıların veri göndermesine izin veriyorsa; Yönetici veya ön uçta olsun; nonces, bir kullanıcının bir eylemi gerçekleştirme niyetinde olduğunu doğrulamak için kullanılabilir ve Siteler Arası İstek Sahteciliğine (CSRF) karşı koruma sağlamada etkilidir. Bir örnek, yetkili kullanıcıların video yüklemesine izin verilen bir WordPress sitesidir.”

Jetpack, Smash Balloon eklentisinde ayrıcalık ve nonce kontrollerini gerçekleştiremeyen ve siteyi saldırıya açan bir güvenlik açığı tespit etti. Jetpack, güvenlik açığının web sitelerini nasıl açığa çıkardığını açıkladı:

“Eklentinin iç ayarlarını güncellemekten sorumlu olan wp_ajax_cff_save_settings AJAX eylemi, bunu yapmadan önce herhangi bir ayrıcalık veya nonce kontrolü gerçekleştirmedi. Bu, oturum açmış herhangi bir kullanıcının bu eylemi çağırmasını ve eklentinin ayarlarından herhangi birini güncellemesini mümkün kıldı. Ne yazık ki, bu ayarlardan biri olan customJS, yöneticilerin sitelerinin gönderilerinde ve sayfalarında özel JavaScript depolamasına olanak tanır. Bu ayarı güncellemek, kötü bir oyuncunun sitede kötü amaçlı komut dosyaları depolaması için gereken tek şey.”

Her sürüm güncellemesinin ne içerdiğini kaydeden Smash Balloon Social Post Feed WordPress eklenti değişiklik günlüğü, bir güvenlik sorununun giderildiğini doğru bir şekilde not eder. Smash Balloon’un yaptığı gibi yalnızca güvenlik açıklarını zamanında düzeltmekle kalmaz, aynı zamanda Smash Balloon’un yaptığı değişiklik günlüğüne not etmekten de sorumludur. Değişiklik günlüğü şunları belirtir:

“Düzeltme: Geliştirilmiş güvenlik güçlendirmesi.”

Önerilen eylem

Smash Balloon Social Post Feed, kötü amaçlı komut dosyalarının yüklenmesine izin veren Stored XSS saldırısını düzeltmek için yakın zamanda yamalandı. Jetpack, Smash Balloon Social Post Feed’in bu yazıdaki en son sürüm olan 4.0.1 sürümüne güncellenmesini önerir. Bunu yapmamak, bir WordPress kurulumunu güvensiz hale getirebilir.

ilgili konu  ÇÖZÜM Instagram Beğeni Hatası
WordPress Facebook Akışı Eklentisi Güvenlik Açığı
WordPress Facebook Akışı Eklentisi Güvenlik Açığı
  • güvenlik açığı nasıl bulunur
  • güvenlik açığı nasıl oluşur
  • güvenlik açığı olan siteler

Bir cevap yazın Cevabı iptal et

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Beytullah GÜNEŞ

Beytullah GÜNEŞ

GNSNetwork Founder

beytullahgunes.com ve GNSNetwork kurucusu. Aktif olarak 2002, profesyonel olarak 2012 yılından bu yana web tasarım, geliştirme ve SEO alanında hizmet vermekte. 2019 yılından bu yana hizmetlerini GNSNetwork üzerinden sunmayı sürdürmektedir.

Yeni Neler Var?

  • Bing Tarama Sistemini Yeniliyor
  • Haber Makaleleri İçin SEO İpuçları
  • Yandex Sıralama Faktörleri Sızdı
  • WordPress Yönetici Arayüzü Kesinlikle Kötü
  • ChatGPT Web İçeriğinin Kullanımı Etik mi?

SEO Araçları

  • SEO Analizi Yap
  • En Yeni SEO Analizleri
  • Domain Yaşı Sorgula
  • Google Önbellek Analiz
  • Yapılandırılmış Veri Aracı

Kategoriler

  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • Oyun
  • SEO
  • Sosyal Medya
  • Teknoloji ve Bilim
  • Yazılım Tasarım Kodlama

Başlıca

  • Ana Sayfa
  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • SEO

Kurumsal

  • Hakkında
  • Sıkça Sorulan Sorular
  • Kullanım Koşulları
  • Çerez Politikası
  • Gizlilik politikası
  • KVKK
  • Beytullah Güneş İletişim

Sosyal

  • Facebook
  • Twitter
  • Instagram
  • tumblr
  • Linkedin

Beytullah Güneş İletişim

[email protected]

Tuğçe Güneş |Mutfaktan Yemek Tarifi | Kullanıcı Yorumluyor | Güzel Anlamlı Sözler | Açıklanamayan Doğaüstü Olaylar

DMCA compliant image btk
GNS Network - SEO Tasarım Reklamcılık