Skip to content
Menu
Beytullah Güneş
  • Ana Sayfa
  • Araçlar
    • SEO Analizi Yap
    • En Yeni SEO Analizleri
    • Domain Yaşı Sorgula
    • Google Önbellek Analiz
    • Yapılandırılmış Veri Aracı
  • Blog
    • Bilgisayar
    • Dijital Pazarlama
    • Google
    • Güvenlik
    • İnternet
    • Oyun
    • SEO
    • Sosyal Medya
    • Teknoloji ve Bilim
    • Yazılım Tasarım Kodlama
  • Hakkında
    • Hakkında
    • İletişim
    • Referanslar
    • Sıkça Sorulan Sorular
Beytullah Güneş
WordPress All In One SEO Güvenlik Açığı

WordPress All In One SEO Güvenlik Açığı

Yayınlanma Tarihi 28 Şubat 2023 | Kategori Güvenlik

WordPress All In One SEO Güvenlik Açığı ; Amerika Birleşik Devletleri Ulusal Güvenlik Açığı Veritabanı, All In One SEO WordPress eklentisinde keşfedilen iki güvenlik açığı hakkında bir danışma belgesi yayınladı.

Üç milyondan fazla aktif kurulumu olan Hepsi Bir Arada SEO (AIOSEO) eklentisi, iki Siteler Arası Komut Dosyası Çalıştırma (XSS) saldırısına karşı savunmasızdır. Güvenlik açıkları, AIOSEO’nun 4.2.9 sürümüne kadar olan tüm sürümlerini etkiler.

Depolanmış Siteler Arası Komut Dosyası Çalıştırma

Siteler arası komut dosyası çalıştırma (XSS) saldırıları, bir kullanıcının tarayıcısında yürütülen ve daha sonra tanımlama bilgilerine, kullanıcı oturumlarına ve hatta bir sitenin devralınmasına yol açabilen kötü amaçlı komut dosyalarını içeren bir enjeksiyon istismarı biçimidir. Siteler Arası Komut Dosyası Çalıştırma saldırılarının en yaygın iki biçimi şunlardır:

  • Yansıtılmış Siteler Arası Komut Dosyası
  • Depolanmış Siteler Arası Komut Dosyası Çalıştırma

Yansıtılmış bir XSS, üzerine tıklayan bir kullanıcıya bir komut dosyası göndermeye dayanır, bu komut savunmasız siteye gider ve ardından saldırıyı kullanıcıya “yansıtır”.

Depolanmış bir XSS, kötü amaçlı komut dosyasının güvenlik açığı bulunan sitenin kendisinde olduğu zamandır.

Bilgisayar korsanları, iletişim formu, resim yükleme formu, birisinin yükleyebileceği veya gönderi yapabileceği herhangi bir alan gibi web sitesine yapılan her tür girdiden yararlanır.

Güvenlik açığı, istenmeyen girişleri engellemek için yeterli güvenlik denetimi olmadığında ortaya çıkar. AIOSEO eklentisini etkileyen iki sorun, Saklanan Siteler Arası Komut Dosyası güvenlik açıklarıdır.

CVE-2023-0585

Güvenlik açıklarına, onları takip etmek için numaralar atanır. İlki atandı, CVE-2023-0585. Bu güvenlik açığı, girdilerin sterilize edilmemesi nedeniyle ortaya çıkar. Bu, bir bilgisayar korsanının kötü amaçlı bir komut dosyası yüklemesini önlemek için yetersiz filtreleme yapıldığı anlamına gelir. Ulusal Güvenlik Açığı Veritabanı (NVD) bildirimi bunu şu şekilde açıklar:

“WordPress için Hepsi Bir Arada SEO Paketi eklentisi, yetersiz giriş temizleme ve çıkış kaçışı nedeniyle 4.2.9’a kadar olan ve dahil olmak üzere sürümlerde birden fazla parametre aracılığıyla Depolanan Siteler Arası Komut Dosyası’na karşı savunmasızdır. Bu, Yönetici rolüne veya daha üst bir role sahip kimliği doğrulanmış saldırganların, bir kullanıcı eklenen bir sayfaya her eriştiğinde yürütülecek olan sayfalara rastgele web komut dosyaları eklemesini mümkün kılar.”

Ulusal Güvenlik Açığı Veritabanı (NVD)

Güvenlik açığına, orta düzey olan 4,4 (on üzerinden) tehdit düzeyi atanmıştır. Saldırganın bu saldırıyı gerçekleştirmesi için önce yönetici ayrıcalıkları veya daha yüksek ayrıcalıklara sahip olması gerekir.

ilgili konu  WordPress Yönetici Arayüzü Kesinlikle Kötü

CVE-2023-0586 – WordPress All In One SEO Güvenlik Açığı

Bu saldırı ilkine benzer. Temel fark, bir saldırganın en azından katılımcı düzeyinde web sitesi erişim ayrıcalığı üstlenmesi gerekmesidir.

Katkıda bulunan düzeyinde bir rol, içerik oluşturma yeteneğine sahiptir ancak yayınlama yeteneğine sahip değildir.

Güvenlik açığı aynı zamanda orta düzey bir tehdittir ancak 6.4 gibi daha yüksek bir güvenlik açığı puanı atanmıştır. Bu açıklama:

“WordPress için Hepsi Bir Arada SEO Paketi eklentisi, yetersiz giriş temizleme ve çıkış kaçışı nedeniyle 4.2.9’a kadar olan ve dahil olmak üzere sürümlerde birden fazla parametre aracılığıyla Depolanan Siteler Arası Komut Dosyası’na karşı savunmasızdır. Bu, Katkıda Bulunan+ rolüne sahip kimliği doğrulanmış saldırganların, bir kullanıcı eklenen bir sayfaya her eriştiğinde yürütülecek olan sayfalara rastgele web komut dosyaları eklemesini mümkün kılar.”

Ulusal Güvenlik Açığı Veritabanı (NVD)

WordPress All In One SEO Güvenlik Açığı Tavsiye edilen eylem

İlk güvenlik açığı, yönetici düzeyinde ayrıcalıklar gerektirir ve nispeten düşük bir orta tehdit düzeyi puanı olan 4.4’e atanır.

Ancak ikinci güvenlik açığı yalnızca daha düşük bir ayrıcalık düzeyi gerektirir ve 6.4 olarak daha yüksek derecelendirilmiştir.

Güvenlik açığı bulunan tüm eklentileri güncellemek genellikle iyi bir politikadır. AIOSEO eklentisi sürüm 4.3.0, resmi AIOSEO değişiklik günlüğünde ek “güvenlik güçlendirme” olarak anılan güvenlik düzeltmesini içeren sürümdür. İki güvenlik açığının ayrıntılarını okuyun: CVE-2023-0585, CVE-2023-0586.

WordPress All In One SEO Güvenlik Açığı
All In One SEO Güvenlik Açığı
  • All In One SEO
  • güvenlik açığı
  • wordpress

Bir cevap yazın Cevabı iptal et

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Beytullah GÜNEŞ

Beytullah GÜNEŞ

GNSNetwork Founder

beytullahgunes.com ve GNSNetwork kurucusu. Aktif olarak 2002, profesyonel olarak 2012 yılından bu yana web tasarım, geliştirme ve SEO alanında hizmet vermekte. 2019 yılından bu yana hizmetlerini GNSNetwork üzerinden sunmayı sürdürmektedir.

Yeni Neler Var?

  • OpenAI ChatGPT İçin Eklenti Desteği
  • WordPress Ödeme Eklentisi Güvenlik Açığı
  • Opera Masaüstü Tarayıcılarda Yapay Zeka
  • LinkedIn İşletme Sayfaları İçin 4 Güncelleme
  • Yapay Zeka Destekli Bing 5 Başlangıç İstemi

SEO Araçları

  • SEO Analizi Yap
  • En Yeni SEO Analizleri
  • Domain Yaşı Sorgula
  • Google Önbellek Analiz
  • Yapılandırılmış Veri Aracı

Kategoriler

  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • Oyun
  • SEO
  • Sosyal Medya
  • Teknoloji ve Bilim
  • Yazılım Tasarım Kodlama

Başlıca

  • Ana Sayfa
  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • SEO

Kurumsal

  • Hakkında
  • Sıkça Sorulan Sorular
  • Kullanım Koşulları
  • Çerez Politikası
  • Gizlilik politikası
  • KVKK
  • Beytullah Güneş İletişim

Sosyal

  • Facebook
  • Twitter
  • Instagram
  • tumblr
  • Linkedin

Beytullah Güneş İletişim

[email protected]

Tuğçe Güneş | Mutfaktan Yemek Tarifi | Kullanıcı Yorumluyor | Güzel Anlamlı Sözler | Açıklanamayan Doğaüstü Olaylar

DMCA compliant image btk
GNS Network - SEO Tasarım Reklamcılık