Skip to content
Menu
Beytullah Güneş
  • Ana Sayfa
  • Araçlar
    • SEO Analizi Yap
    • En Yeni SEO Analizleri
    • Domain Yaşı Sorgula
    • Google Önbellek Analiz
    • Yapılandırılmış Veri Aracı
  • Blog
    • Bilgisayar
    • Dijital Pazarlama
    • Google
    • Güvenlik
    • İnternet
    • Oyun
    • SEO
    • Sosyal Medya
    • Teknoloji ve Bilim
    • Yazılım Tasarım Kodlama
  • Hakkında
    • Hakkında
    • İletişim
    • Referanslar
    • Sıkça Sorulan Sorular
Beytullah Güneş
WordPress Depolanmış XSS Güvenlik Açığı – Şimdi Güncelleyin

WordPress Depolanmış XSS Güvenlik Açığı – Şimdi Güncelleyin

Yayınlanma Tarihi 16 Mart 2022 | Kategori Güvenlik

WordPress, bir saldırgana sitenin tamamını ele geçirme fırsatı sağlayabilecek iki güvenlik açığını gidermek için bir güvenlik güncellemesi duyurdu. İki güvenlik açığı arasında en ciddi olanı, depolanmış siteler arası komut dosyası çalıştırma (Stored XSS) güvenlik açığıdır.

WordPress Depolanan Siteler Arası Komut Dosyası (XSS) Güvenlik Açığı

WordPress XSS güvenlik açığı, WordPress güvenlik ekibi tarafından çekirdek WordPress dosyalarında keşfedildi. Depolanmış bir XSS güvenlik açığı, bir saldırganın bir komut dosyasını doğrudan WordPress web sitesine yükleyebildiği bir güvenlik açığıdır. Bu tür güvenlik açıklarının konumları, genellikle bir gönderi veya iletişim formu göndermek gibi WordPress sitesinin girişe izin verdiği herhangi bir yerdedir.

Tipik olarak bu giriş formları, Sanitizasyon adı verilen şeyle korunur. Temizleme işlemi, girdinin yalnızca metin gibi belirli girdi türlerini kabul etmesini ve JavaScript dosyası gibi diğer girdi türlerini reddetmesini (filtreden geçirmesini) sağlayan bir işlemdir. Wordfence’e göre , etkilenen WordPress dosyaları, kötü amaçlı dosyaların yüklenmesini engellemek için temizleme işlemi gerçekleştirdi. Ancak temizleme işleminin gerçekleştiği sıra, temizleme işleminin atlanabileceği bir durum oluşturdu. Wordfence, bu güvenlik açığını gideren yamaya ilişkin şu bilgileri sundu:

“The patched version runs wp_filter_global_styles_post before wp_filter_post_kses so that any potential bypasses have already been processed and wp_kses can effectively sanitize them.”

Saldırganın komut dosyası yüklemesinin nedeni genellikle dosyanın kodlanma biçimindeki bir hatadır. Yönetici ayrıcalıklarına sahip bir web sitesi kullanıcısı, istismar edilen web sitesini ziyaret ettiğinde, yüklenen kötü amaçlı JavaScript dosyası yürütülür ve bu kullanıcının yönetici düzeyindeki erişimiyle siteyi ele geçirmek, yeni bir yönetici düzeyinde hesap oluşturmak ve arka kapılar yüklemek gibi şeyler yapabilir. Arka kapı, bir bilgisayar korsanının bir WordPress sitesinin arka ucuna tam erişimle istediği zaman erişmesine izin veren bir dosya/koddur.

ilgili konu  WordPress Kötü Amaçlı Yazılımdan Koruma Güvenlik Duvarında Bulunan Güvenlik Açığı

Prototip Güvenlik Açığı

WordPress’te keşfedilen ikinci soruna Prototip Kirlilik Güvenlik Açığı denir. Bu tür bir güvenlik açığı, JavaScript’te (veya bir JavaScript kitaplığında) web sitesine karşı bir kusurdur. Bu ikinci sorun aslında her ikisi de Prototip Kirlilik Açıkları olan iki sorundur. Biri, Gutenberg wordpress/url paketinde keşfedilen bir Prototip Kirlilik Güvenlik Açığı. Bu, WordPress içinde bir WordPress web sitesinin URL’leri değiştirmesine izin veren bir modüldür.

Örneğin, bu Gutenberg wordpress/url paketi, sorgu dizeleri için çeşitli işlevler sağlar ve büyük harfleri küçük harflere dönüştürmek gibi şeyler yapmak için URL bilgisi üzerinde temizleme gerçekleştirir. İkincisi, jQuery’deki bir Prototip Kirliliği güvenlik açığıdır. Bu güvenlik açığı jQuery 2.2.3’te giderilmiştir. Wordfence, bu güvenlik açığından herhangi bir şekilde yararlanıldığından haberdar olmadıklarını ve bu güvenlik açığından yararlanmanın karmaşıklığının bir sorun olma olasılığının düşük olduğunu belirtiyor. Wordfence güvenlik açığı analizi şu sonuca varmıştır:

“Bir kurbanın tarayıcısında JavaScript’i başarıyla yürütebilen bir saldırgan, potansiyel olarak bir siteyi ele geçirebilir, ancak pratik bir saldırının karmaşıklığı yüksektir ve muhtemelen ayrı bir savunmasız bileşenin yüklenmesini gerektirir. “

WordPress Depolanan XSS Güvenlik Açığı Ne Kadar Kötü?

Bu özel güvenlik açığı, kötü amaçlı bir komut dosyası yüklemek için gerekli izin düzeyine sahip olmak için katkıda bulunan düzeyinde erişime sahip bir kullanıcı gerektirir. Bu nedenle, depolanan XSS güvenlik açığından yararlanmanın bir sonraki adımına geçmek için ilk önce katkıda bulunan düzeyinde bir oturum açma kimlik bilgisi edinme şeklinde ek bir adıma ihtiyaç vardır. Ek adım, güvenlik açığından yararlanılmasını zorlaştırabilirken, göreceli güvenlik ile sitenin tamamının ele geçirilmesi arasındaki tek şey, katkıda bulunan parolaların gücü ve karmaşıklığıdır.

WordPress 5.9.2’ye Güncelleme

WordPress’in en son sürümü olan 5.9.2, güvenlikle ilgili iki sorunu giderir ve Twenty Twenty Two temasını kullanan siteler için bir hata mesajıyla sonuçlanabilecek bir hatayı giderir ve giderir. Bir WordPress izleme bileti, hatayı şu şekilde açıklar:

“Daha eski bir varsayılan temanın etkinleştirilmesi ve ardından Twenty Twenty Two’nun önizlemesi için tıklanması, “Şu anda kullanmakta olduğunuz tema Tam Site Düzenleme ile uyumlu değil” yazan beyaz bir bildirim kutusuyla gri arka planlı bir hata ekranı verdi.”

Resmi WordPress duyurusu, tüm yayıncıların kurulumlarını WordPress 5.9.2 sürümüne güncellemelerini önerir. Bazı sitelerde otomatik güncellemeler etkinleştirilmiş olabilir ve siteler şu anda korunmaktadır. Ancak bu, tüm siteler için geçerli değildir, çünkü birçok site, güncellemeyi onaylamak ve harekete geçirmek için yönetici düzeyinde erişime sahip birisine ihtiyaç duyar. Bu nedenle, web sitenize giriş yapmak ve şu anda 5.9.2 sürümünü kullanıp kullanmadığını kontrol etmek akıllıca olabilir. Web sitesi 5.9.2 sürümünü kullanmıyorsa, dikkate alınması gereken sonraki adımlar web sitesinin kendisini yedeklemek ve ardından en son sürümlere güncellemektir.

ilgili konu  Blogger Onedio Tarzı Slider Eklentisi - Slider Widget

Bununla birlikte, bazıları sitenin bir hazırlık sunucusunda bir kopyasını güncelleyerek ve şu anda yüklü eklentiler ve temalarla herhangi bir çakışma olmadığından emin olmak için güncellenmiş test sürümünü gözden geçirerek ek bir güvenlik katmanı ekleyecektir. Tipik olarak, WordPress’te yapılan önemli bir güncellemeden sonra, eklentiler ve temalar sorunları çözmek için güncellemeler yayınlayabilir. Bununla birlikte, WordPress mümkün olan en kısa sürede güncelleme yapılmasını önerir.

WordPress Depolanmış XSS Güvenlik Açığı – Şimdi Güncelleyin
WordPress Depolanmış XSS Güvenlik Açığı – Şimdi Güncelleyin

Kaynak:

(1) WordPress 5.9.2 Güvenlik ve Bakım Sürümü

(2) WordPress 5.9.2 Güvenlik Güncellemesi, XSS ve Prototip Kirlilik Açıklarını Düzeltiyor

(3) WordPress Sürüm 5.9.2

(4) Sorunu gösteren Canlı Önizleme

(5) Gutenberg wordpress/url paketi

  • güvenlik açığı nasıl bulunur
  • güvenlik açığı olan siteler
  • güvenlik açığı yönetimi

Bir cevap yazın Cevabı iptal et

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Beytullah GÜNEŞ

Beytullah GÜNEŞ

GNSNetwork Founder

beytullahgunes.com ve GNSNetwork kurucusu. Aktif olarak 2002, profesyonel olarak 2012 yılından bu yana web tasarım, geliştirme ve SEO alanında hizmet vermekte. 2019 yılından bu yana hizmetlerini GNSNetwork üzerinden sunmayı sürdürmektedir.

Yeni Neler Var?

  • Yoast SEO WordPress Erişilebilirlik Eklentisi
  • Google Arama Güncellemeleri
  • Açık Kaynak ChatGPT Klonu
  • OpenAI ChatGPT İçin Eklenti Desteği
  • WordPress Ödeme Eklentisi Güvenlik Açığı

SEO Araçları

  • SEO Analizi Yap
  • En Yeni SEO Analizleri
  • Domain Yaşı Sorgula
  • Google Önbellek Analiz
  • Yapılandırılmış Veri Aracı

Kategoriler

  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • Oyun
  • SEO
  • Sosyal Medya
  • Teknoloji ve Bilim
  • Yazılım Tasarım Kodlama

Başlıca

  • Ana Sayfa
  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • SEO

Kurumsal

  • Hakkında
  • Sıkça Sorulan Sorular
  • Kullanım Koşulları
  • Çerez Politikası
  • Gizlilik politikası
  • KVKK
  • Beytullah Güneş İletişim

Sosyal

  • Facebook
  • Twitter
  • Instagram
  • tumblr
  • Linkedin

Beytullah Güneş İletişim

[email protected]

Tuğçe Güneş | Mutfaktan Yemek Tarifi | Kullanıcı Yorumluyor | Güzel Anlamlı Sözler | Açıklanamayan Doğaüstü Olaylar

DMCA compliant image btk
GNS Network - SEO Tasarım Reklamcılık