WordPress CSRF Güvenlik Açığı; Amerika Birleşik Devletleri Hükümeti Ulusal Güvenlik Açığı Veritabanı (NVD), WP Statistics WordPress eklentisinde keşfedilen ve 600.000’e kadar etkin kurulumu etkileyen bir güvenlik açığı hakkında bir danışma belgesi yayınladı.
Güvenlik açığına, 1 ila 10 arası bir ölçekte 6,5’lik bir orta tehdit düzeyi puanı atanmıştır ve 10. düzey, en ciddi güvenlik açığı düzeyini temsil etmektedir.
WP İstatistikleri Siteler Arası İstek Sahtekarlığı (CSRF)
WP Statistics eklentisinin, bir saldırganın eklentileri etkinleştirerek veya devre dışı bırakarak bir web sitesinin güvenliğini aşmasına izin verebilecek bir Siteler Arası İstek Sahteciliği güvenlik açığı içerdiği bulundu.
Siteler Arası İstek Sahteciliği, kayıtlı bir web sitesi kullanıcısının (yönetici gibi) bir bağlantıya tıklamak gibi bir eylem gerçekleştirmesini gerektiren ve ardından saldırganın bir güvenlik açığından yararlanmasına olanak tanıyan bir saldırıdır.
Bu örnekteki güvenlik açığı, “eksik veya yanlış doğrulama yok” şeklindedir. WordPress nonce, kayıtlı bir kullanıcıya sağlanan ve o kullanıcının yalnızca kayıtlı bir kullanıcının yapabileceği eylemleri güvenli bir şekilde gerçekleştirmesine izin veren bir güvenlik belirtecidir. WordPress, yönetici seviyesindeki bir kullanıcı bir gönderiyi sildiğinde buna benzer bir URL oluşturabilir.
Aşağıda, kimlik numarası 123 olan bir gönderi silinirken oluşturulan bir URL’nin varsayımsal örneği verilmiştir:
http://example.com/wp-admin/post.php?post=123&action=trashKayıtlı bir WordPress site yöneticisi bir nonce alır ve örnekteki URL şöyle görünebilir:
http://example.com/wp-admin/post.php?post=123&action=trash&_wpnonce=b192fc4204Bu son kısım, &_wpnonce=b192fc4204 , nonce’dir. Yani, olan şu ki, nonce ya eksik ya da WP Statistics eklentisi içinde düzgün bir şekilde doğrulanmadı ve bu, kötü niyetli bir bilgisayar korsanının istismar etmesi için bir güvenlik açığı yaratıyor. Ulusal Güvenlik Açığı Veritabanı (NVD) bunu şu şekilde açıklıyor:
“WP WordPress için İstatistik eklentisi, 13.1.1’e kadar ve dahil olmak üzere sürümlerde Siteler Arası İstek Sahteciliğine karşı savunmasızdır. Bunun nedeni, view() işlevindeki eksik veya yanlış doğrulama yok. Bu, kimliği doğrulanmamış saldırganların, bir site yöneticisini bir bağlantıya tıklamak gibi bir eylemi gerçekleştirmesi için kandırabilecekleri kabul edilen sahte bir istek yoluyla rastgele eklentileri etkinleştirip devre dışı bırakmalarını mümkün kılar.”
Ulusal Güvenlik Açığı Veritabanı (NVD)
WordPress CSRF Güvenlik Açığı Yaması
WP Statistics eklenti güvenlik açığı, 13.1.1 dahil olmak üzere sürümleri etkiler. Ancak o zamandan beri, 13.2.11 sürümü dahil olmak üzere çok sayıda güvenlik düzeltmesi ve ardından ek düzeltmeler eklendi. Eklentinin mevcut sürümü 14.0.1’dir. Şu anda kullanıcıların yalnızca %29,3’ü en güncel sürümü kullanıyor. Eklentinin güncel olmayan sürümünün kullanıcıları, en son sürüme güncelleme yapmayı düşünebilir.