Skip to content
Menu
Beytullah Güneş
  • Ana Sayfa
  • Araçlar
    • SEO Analizi Yap
    • En Yeni SEO Analizleri
    • Domain Yaşı Sorgula
    • Google Önbellek Analiz
    • Yapılandırılmış Veri Aracı
  • Blog
    • Bilgisayar
    • Dijital Pazarlama
    • Google
    • Güvenlik
    • İnternet
    • Oyun
    • SEO
    • Sosyal Medya
    • Teknoloji ve Bilim
    • Yazılım Tasarım Kodlama
  • Hakkında
    • Hakkında
    • İletişim
    • Referanslar
    • Sıkça Sorulan Sorular
Beytullah Güneş
WordPress Gutenberg Eklentisi Güvenlik Açığı

WordPress Gutenberg Eklentisi Güvenlik Açığı

Yayınlanma Tarihi 4 Ağustos 2022 | Kategori Güvenlik

WordPress Gutenberg Güvenlik Açığı, Amerika Birleşik Devletleri hükümetinin Ulusal Güvenlik Açığı Veritabanı, resmi WordPress Gutenberg eklentisinde keşfedilen bir güvenlik açığıyla ilgili bir bildirim yayınladı. Ancak onu bulan kişiye göre, WordPress’in bunun bir güvenlik açığı olduğunu kabul etmediği söyleniyor.

Depolanan Siteler Arası Komut Dosyası Çalıştırma (XSS) Güvenlik Açığı

XSS, birisi normalde bir form veya başka bir yöntemle izin verilmeyen bir komut dosyası gibi bir şey yükleyebildiğinde ortaya çıkan bir tür güvenlik açığıdır.

Çoğu form ve diğer web sitesi girdileri, güncellenenlerin beklendiğini doğrulayacak ve tehlikeli dosyaları filtreleyecektir.

Bir örnek, bir saldırganın kötü amaçlı bir komut dosyası yüklemesini engelleyemeyen bir görüntü yükleme formudur.

Kar amacı gütmeyen Açık Web Uygulama Güvenliği Projesi’ne göre, yazılım güvenliğini geliştirmeye odaklanan bir kuruluş, başarılı bir XSS saldırısında şunlar olabilir:

“Bir saldırgan, şüphelenmeyen bir kullanıcıya kötü amaçlı bir komut dosyası göndermek için XSS kullanabilir. Son kullanıcının tarayıcısının, komut dosyasına güvenilmemesi gerektiğini bilmesinin hiçbir yolu yoktur ve komut dosyasını yürütür. Komut dosyasının güvenilir bir kaynaktan geldiğini düşündüğü için kötü amaçlı komut dosyası, tarayıcı tarafından tutulan ve bu siteyle kullanılan tüm tanımlama bilgilerine, oturum belirteçlerine veya diğer hassas bilgilere erişebilir. Bu komut dosyaları, HTML sayfasının içeriğini bile yeniden yazabilir.”

According to the non-profit Open Web Application Security Project

Yaygın Güvenlik Açıkları ve Etkilenmeler – CVE

CVE adlı bir kuruluş, güvenlik açıklarını belgelemenin ve keşifleri halka duyurmanın bir yolu olarak hizmet eder.

ABD İç Güvenlik Bakanlığı’nın desteklediği kuruluş, güvenlik açıklarının keşiflerini inceler ve kabul edilirse, güvenlik açığına, söz konusu güvenlik açığının kimlik numarası olarak hizmet eden bir CVE numarası atar.

Gutenberg’de Güvenlik Açığı Keşfi

Güvenlik araştırması, bir güvenlik açığı olduğuna inanılan şeyi keşfetti. Keşif CVE’ye sunuldu ve keşif onaylandı ve bir CVE ID numarası verildi, bu da keşfi resmi bir güvenlik açığı haline getirdi.

ilgili konu  WordPress, Varsayılan Öneriye Göre WebP'yi Yeniden Düşünüyor

XSS güvenlik açığına CVE-2022-33994 kimlik numarası verildi. CVE sitesinde yayınlanan güvenlik açığı raporu şu açıklamayı içerir:

“WordPress için 13.7.3’e kadar olan Gutenberg eklentisi, Katılımcı rolü tarafından bir SVG belgesi aracılığıyla “URL’den Ekle” özelliğine depolanan XSS’ye izin verir. NOT: XSS yükü, WordPress örneğinin etki alanı bağlamında yürütülmez; ancak, düşük ayrıcalıklı kullanıcıların SVG belgelerine başvurmaya yönelik benzer girişimleri bazı benzer ürünler tarafından engellenir ve bu davranışsal farklılık, bazı WordPress site yöneticileri için güvenlikle ilgili olabilir.

CVE sitesinde yayınlanan güvenlik açığı raporu

Bu, Katılımcı düzeyinde ayrıcalıklara sahip birinin web sitesine kötü amaçlı bir dosya eklenmesine neden olabileceği anlamına gelir. Bunu yapmanın yolu, resmi bir URL aracılığıyla eklemektir. Gutenberg’de resim yüklemenin üç yolu vardır.

  1. Yükle
  2. WordPress Medya Kitaplığı’ndan mevcut bir resim seçin
  3. Resmi bir URL’den ekleyin

Bu son yöntem, güvenlik açığının nereden geldiğidir, çünkü güvenlik araştırmacısına göre, herhangi bir uzantı dosya adına sahip bir resim, yükleme özelliğinin izin vermediği bir URL aracılığıyla WordPress’e yüklenebilir.

WordPress Gutenberg Güvenlik Açığı Gerçekten Bir Güvenlik Açığı mı?

Araştırmacı, WordPress güvenlik açığını bildirdi. Ancak onu keşfeden kişiye göre, WordPress bunu bir güvenlik açığı olarak kabul etmedi. Araştırmacının yazdığı şey şu:

“WordPress’te, WordPress Ekibi tarafından reddedilen ve Bilgilendirici olarak etiketlenen Stored Cross Site Scripting güvenlik açığı buldum. Bugün güvenlik açığını bildirdiğimden bu yana 45. gün ve bunu yazarken güvenlik açığı düzeltilmedi…”

Araştırmacının yazdığı şey

Öyle görünüyor ki, bunun bir XSS güvenlik açığı olup olmadığı konusunda WordPress’in doğru olup olmadığı ve ABD Hükümeti tarafından desteklenen CVE vakfının yanlış (veya tam tersi) olup olmadığı konusunda bir soru var.

Araştırmacı, bunun gerçek bir güvenlik açığı olduğunda ısrar ediyor ve bu iddiayı doğrulamak için CVE kabulü sunuyor.

ilgili konu  Site FTP SMTP PHP Server Takip Scripti Ücretsiz

Ayrıca, araştırmacı, WordPress Gutenberg eklentisinin bir URL üzerinden resim yüklemeye izin verdiği durumun iyi bir uygulama olmayabileceğini ima ediyor veya öneriyor, diğer şirketlerin bu tür yüklemelere izin vermediğine dikkat çekiyor.

“Öyleyse, bana nedenini söyleyin… …Google ve Slack gibi şirketler, bir URL üzerinden yüklenen dosyaları doğrulama ve SVG olduğu tespit edilirse dosyaları reddetme noktasına geldi! …Google ve Slack… WordPress’in yaptığı gibi, SVG dosyalarının bir URL üzerinden yüklenmesine izin vermez!”

Araştırmacı, bunun gerçek bir güvenlik açığı olduğunda ısrar ediyor

Ne yapalım? WordPress Gutenberg Güvenlik Açığı

WordPress, güvenlik açığı veya sorun oluşturduğuna inanmadıkları için güvenlik açığı için bir düzeltme yayınlamadı.

Resmi güvenlik açığı raporu, 13.7.3’e kadar olan Gutenberg sürümlerinin güvenlik açığını içerdiğini belirtir. Ancak 13.7.3 en güncel sürümdür.

Tüm geçmiş değişiklikleri kaydeden ve gelecekteki değişikliklerin bir açıklamasını yayınlayan resmi WordPress Gutenberg değişiklik günlüğüne göre, bu (iddia edilen) güvenlik açığı için herhangi bir düzeltme yapılmadı ve planlanmış bir şey de yok. Yani soru, düzeltilecek bir şey olup olmadığıdır.

WordPress Gutenberg Eklentisi Güvenlik Açığı
WordPress Gutenberg Eklentisi Güvenlik Açığı
  • wordpress güvenlik açığı anlamı
  • wordpress güvenlik açığı bulma
  • wordpress güvenlik açığı nasıl bulunur

Bir cevap yazın Cevabı iptal et

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Beytullah GÜNEŞ

Beytullah GÜNEŞ

GNSNetwork Founder

beytullahgunes.com ve GNSNetwork kurucusu. Aktif olarak 2002, profesyonel olarak 2012 yılından bu yana web tasarım, geliştirme ve SEO alanında hizmet vermekte. 2019 yılından bu yana hizmetlerini GNSNetwork üzerinden sunmayı sürdürmektedir.

Yeni Neler Var?

  • WordPress Güvenlik Eklentisi Güvenlik Açığı
  • Google Sahte Yerel İşletme Yorumları
  • Yoast SEO WordPress Erişilebilirlik Eklentisi
  • Google Arama Güncellemeleri
  • Açık Kaynak ChatGPT Klonu

SEO Araçları

  • SEO Analizi Yap
  • En Yeni SEO Analizleri
  • Domain Yaşı Sorgula
  • Google Önbellek Analiz
  • Yapılandırılmış Veri Aracı

Kategoriler

  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • Oyun
  • SEO
  • Sosyal Medya
  • Teknoloji ve Bilim
  • Yazılım Tasarım Kodlama

Başlıca

  • Ana Sayfa
  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • SEO

Kurumsal

  • Hakkında
  • Sıkça Sorulan Sorular
  • Kullanım Koşulları
  • Çerez Politikası
  • Gizlilik politikası
  • KVKK
  • Beytullah Güneş İletişim

Sosyal

  • Facebook
  • Twitter
  • Instagram
  • tumblr
  • Linkedin

Beytullah Güneş İletişim

[email protected]

Tuğçe Güneş | Mutfaktan Yemek Tarifi | Kullanıcı Yorumluyor | Güzel Anlamlı Sözler | Açıklanamayan Doğaüstü Olaylar

DMCA compliant image btk
GNS Network - SEO Tasarım Reklamcılık