WordPress Popup Maker Güvenlik Açığı; ABD hükümeti Ulusal Güvenlik Açığı Veritabanı, WordPress için popüler Popup Maker eklentisindeki Depolanmış Siteler Arası Komut Dosyası çalıştırma güvenlik açığı hakkında bir danışma belgesi yayınladı.
WordPress Popup Maker
700.000’den fazla web sitesinde yüklü olan “Popup Maker – Popup for opt-ins, lead gen, & more” WordPress eklentisinde bir güvenlik açığı keşfedildi.
Popup Maker eklentisi, WooCommerce mağazalarında, e-posta bülteni kayıtlarında ve müşteri adayı oluşturmayla ilgili diğer popüler uygulamalarda dönüşümleri artırmak için tasarlanmış özelliklerle en popüler iletişim formlarının çoğuyla entegre olur.
Eklenti yalnızca 2021’den beri var olmasına rağmen olağanüstü bir büyüme yaşadı ve 4.000’den fazla beş yıldızlı inceleme kazandı.
Popup Maker Güvenlik Açığı
Bu eklentiyi etkileyen güvenlik açığı, depolanmış siteler arası komut dosyası oluşturma (XSS) olarak adlandırılır. Kötü amaçlı bir komut dosyası web sitesine yüklendiğinden ve sunucunun kendisinde depolandığından buna “saklanan” denir.
XSS güvenlik açıkları genellikle bir girdinin yüklenmekte olan şeyi temizlemede başarısız olması durumunda ortaya çıkar. Bir kullanıcının veri girebileceği her yerde savunmasız hale gelebilir, nelerin yüklenebileceği üzerinde kontrol eksikliği vardır.
Bu özel güvenlik açığı, bir bilgisayar korsanı, en azından katılımcı düzeyinde erişime sahip bir kullanıcının kimlik bilgilerini ele geçirip saldırıyı başlattığında ortaya çıkabilir.
ABD Hükümeti Ulusal Güvenlik Açığı Veritabanı , güvenlik açığının nedenini ve bir saldırının nasıl gerçekleşebileceğini açıklar:
“1.16.9’dan önceki Popup Maker WordPress eklentisi, kısa kod özniteliklerinden birini doğrulamaz ve bunlardan kaçmaz; bu, katkıda bulunan kadar düşük bir role sahip kullanıcıların Depolanmış Siteler Arası Komut Dosyası Çalıştırma saldırıları gerçekleştirmesine izin verebilir.”
ABD Hükümeti Ulusal Güvenlik Açığı Veritabanı
Eklenti yazarı tarafından yayınlanan resmi bir değişiklik günlüğü, açıktan yararlanmanın, katkıda bulunan düzeyinde erişime sahip bir kişinin JavaScript çalıştırmasına izin verdiğini gösterir. V1.16.9 sürümü için Popup Maker Plugin değişiklik günlüğü notları:
“Güvenlik: Katkıda bulunanların filtrelenmemiş JavaScript çalıştırmasına izin veren Yamalı XSS güvenlik açığı.”
Eklenti yazarı
İstismarın ne kadar kötü olabileceğine dair bir açıklama bulunmamakla birlikte, genel olarak Depolanmış XSS güvenlik açıkları, tüm sitenin ele geçirilmesi, kullanıcı verilerinin açığa çıkması ve Truva atı programlarının eklenmesi gibi ciddi sonuçlara yol açabilir.
Orijinal yamanın 1.16.9 sürümü için yayımlanmasından bu yana, güvenlik düzeltme ekiyle birlikte ortaya çıkan bir hatayı düzelten daha yeni bir güncelleştirme de dahil olmak üzere, sonraki güncelleştirmeler yapıldı.
Popup Maker eklentisinin en güncel sürümü V1.17.1’dir. Eklentiyi kuran yayıncılar, en son sürümü güncellemeyi düşünmelidir.