Skip to content
Menu
Beytullah Güneş
  • Ana Sayfa
  • Araçlar
    • SEO Analizi Yap
    • En Yeni SEO Analizleri
    • Domain Yaşı Sorgula
    • Google Önbellek Analiz
    • Yapılandırılmış Veri Aracı
  • Blog
    • Bilgisayar
    • Dijital Pazarlama
    • Google
    • Güvenlik
    • İnternet
    • Oyun
    • SEO
    • Sosyal Medya
    • Teknoloji ve Bilim
    • Yazılım Tasarım Kodlama
  • Hakkında
    • Hakkında
    • İletişim
    • Referanslar
    • Sıkça Sorulan Sorular
Beytullah Güneş
Wordpress CSRF Güvenlik Açığı

WordPress CSRF Güvenlik Açığı

Yayınlanma Tarihi 9 Mart 2023 | Kategori Güvenlik

WordPress CSRF Güvenlik Açığı; Amerika Birleşik Devletleri Hükümeti Ulusal Güvenlik Açığı Veritabanı (NVD), WP Statistics WordPress eklentisinde keşfedilen ve 600.000’e kadar etkin kurulumu etkileyen bir güvenlik açığı hakkında bir danışma belgesi yayınladı.

Güvenlik açığına, 1 ila 10 arası bir ölçekte 6,5’lik bir orta tehdit düzeyi puanı atanmıştır ve 10. düzey, en ciddi güvenlik açığı düzeyini temsil etmektedir.

WP İstatistikleri Siteler Arası İstek Sahtekarlığı (CSRF)

WP Statistics eklentisinin, bir saldırganın eklentileri etkinleştirerek veya devre dışı bırakarak bir web sitesinin güvenliğini aşmasına izin verebilecek bir Siteler Arası İstek Sahteciliği güvenlik açığı içerdiği bulundu.

Siteler Arası İstek Sahteciliği, kayıtlı bir web sitesi kullanıcısının (yönetici gibi) bir bağlantıya tıklamak gibi bir eylem gerçekleştirmesini gerektiren ve ardından saldırganın bir güvenlik açığından yararlanmasına olanak tanıyan bir saldırıdır.

Bu örnekteki güvenlik açığı, “eksik veya yanlış doğrulama yok” şeklindedir. WordPress nonce, kayıtlı bir kullanıcıya sağlanan ve o kullanıcının yalnızca kayıtlı bir kullanıcının yapabileceği eylemleri güvenli bir şekilde gerçekleştirmesine izin veren bir güvenlik belirtecidir. WordPress, yönetici seviyesindeki bir kullanıcı bir gönderiyi sildiğinde buna benzer bir URL oluşturabilir.

Aşağıda, kimlik numarası 123 olan bir gönderi silinirken oluşturulan bir URL’nin varsayımsal örneği verilmiştir:

http://example.com/wp-admin/post.php?post=123&action=trash

Kayıtlı bir WordPress site yöneticisi bir nonce alır ve örnekteki URL şöyle görünebilir:

http://example.com/wp-admin/post.php?post=123&action=trash&_wpnonce=b192fc4204

Bu son kısım, &_wpnonce=b192fc4204 , nonce’dir. Yani, olan şu ki, nonce ya eksik ya da WP Statistics eklentisi içinde düzgün bir şekilde doğrulanmadı ve bu, kötü niyetli bir bilgisayar korsanının istismar etmesi için bir güvenlik açığı yaratıyor. Ulusal Güvenlik Açığı Veritabanı (NVD) bunu şu şekilde açıklıyor:

“WP WordPress için İstatistik eklentisi, 13.1.1’e kadar ve dahil olmak üzere sürümlerde Siteler Arası İstek Sahteciliğine karşı savunmasızdır. Bunun nedeni, view() işlevindeki eksik veya yanlış doğrulama yok. Bu, kimliği doğrulanmamış saldırganların, bir site yöneticisini bir bağlantıya tıklamak gibi bir eylemi gerçekleştirmesi için kandırabilecekleri kabul edilen sahte bir istek yoluyla rastgele eklentileri etkinleştirip devre dışı bırakmalarını mümkün kılar.”

Ulusal Güvenlik Açığı Veritabanı (NVD)

WordPress CSRF Güvenlik Açığı Yaması

WP Statistics eklenti güvenlik açığı, 13.1.1 dahil olmak üzere sürümleri etkiler. Ancak o zamandan beri, 13.2.11 sürümü dahil olmak üzere çok sayıda güvenlik düzeltmesi ve ardından ek düzeltmeler eklendi. Eklentinin mevcut sürümü 14.0.1’dir. Şu anda kullanıcıların yalnızca %29,3’ü en güncel sürümü kullanıyor. Eklentinin güncel olmayan sürümünün kullanıcıları, en son sürüme güncelleme yapmayı düşünebilir.

ilgili konu  Microsoft, Windows 10'da kullanıcılardan hangi verileri topladıklarını açıkladı!
  • güvenlik açığı
  • wordpress

Bir cevap yazın Cevabı iptal et

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Beytullah GÜNEŞ

Beytullah GÜNEŞ

GNSNetwork Founder

beytullahgunes.com ve GNSNetwork kurucusu. Aktif olarak 2002, profesyonel olarak 2012 yılından bu yana web tasarım, geliştirme ve SEO alanında hizmet vermekte. 2019 yılından bu yana hizmetlerini GNSNetwork üzerinden sunmayı sürdürmektedir.

Yeni Neler Var?

  • OpenAI ChatGPT İçin Eklenti Desteği
  • WordPress Ödeme Eklentisi Güvenlik Açığı
  • Opera Masaüstü Tarayıcılarda Yapay Zeka
  • LinkedIn İşletme Sayfaları İçin 4 Güncelleme
  • Yapay Zeka Destekli Bing 5 Başlangıç İstemi

SEO Araçları

  • SEO Analizi Yap
  • En Yeni SEO Analizleri
  • Domain Yaşı Sorgula
  • Google Önbellek Analiz
  • Yapılandırılmış Veri Aracı

Kategoriler

  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • Oyun
  • SEO
  • Sosyal Medya
  • Teknoloji ve Bilim
  • Yazılım Tasarım Kodlama

Başlıca

  • Ana Sayfa
  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • SEO

Kurumsal

  • Hakkında
  • Sıkça Sorulan Sorular
  • Kullanım Koşulları
  • Çerez Politikası
  • Gizlilik politikası
  • KVKK
  • Beytullah Güneş İletişim

Sosyal

  • Facebook
  • Twitter
  • Instagram
  • tumblr
  • Linkedin

Beytullah Güneş İletişim

[email protected]

Tuğçe Güneş | Mutfaktan Yemek Tarifi | Kullanıcı Yorumluyor | Güzel Anlamlı Sözler | Açıklanamayan Doğaüstü Olaylar

DMCA compliant image btk
GNS Network - SEO Tasarım Reklamcılık