WordPress Ödeme Eklentisi Güvenlik Açığı; WooCommerce eklentisinin yayıncısı olan Automattic, WooCommerce Payments eklentisinde kritik bir güvenlik açığının keşfedildiğini ve yama yapıldığını duyurdu.
Güvenlik açığı, bir saldırganın Yönetici düzeyinde kimlik bilgileri kazanmasına ve sitenin tamamını ele geçirmesine olanak tanır.
Yönetici, WordPress’teki en yüksek izinli kullanıcı rolüdür ve daha fazla yönetici düzeyinde hesap oluşturma ve web sitesinin tamamını silme yeteneği ile bir WordPress sitesine tam erişim sağlar.
Bu özel güvenlik açığını büyük endişe kaynağı yapan şey, kimliği doğrulanmamış saldırganlar tarafından kullanılabilir olmasıdır; bu, siteyi manipüle etmek ve yönetici düzeyinde kullanıcı rolü elde etmek için önce başka bir izin almaları gerekmediği anlamına gelir. WordPress güvenlik eklentisi üreticisi Wordfence bu güvenlik açığını açıkladı:
“Güncellemeyi inceledikten sonra, kimliği doğrulanmamış bir saldırganın bir yöneticinin kimliğine bürünmesine ve herhangi bir kullanıcı etkileşimi veya sosyal mühendislik gerektirmeden bir web sitesini tamamen ele geçirmesine izin verebilecek savunmasız kodu kaldırdığını belirledik.”
Wordfence
Sucuri Web Sitesi güvenlik platformu, güvenlik açığı hakkında daha fazla ayrıntıya giren bir uyarı yayınladı. Sucuri, güvenlik açığının aşağıdaki dosyada göründüğünü açıklıyor:
/wp-content/plugins/woocommerce-payments/includes/platform-checkout/class-platform-checkout-session.php
Automattic tarafından uygulanan “düzeltmenin” dosyayı kaldırmak olduğunu da açıkladılar. Sucuri gözlemler:
“Eklenti değişiklik geçmişine göre, dosya ve işlevselliği tamamen kaldırılmış gibi görünüyor…”
Sucuri
WooCommerce web sitesi, etkilenen dosyayı neden tamamen kaldırmayı seçtiklerini açıklayan bir danışma belgesi yayınladı:
“Bu güvenlik açığı, beta testindeki yeni bir ödeme kontrol hizmeti olan WooPay’i de etkileme potansiyeline sahip olduğundan, beta programını geçici olarak devre dışı bıraktık.”
WooCommerce
WooCommerce Payment Plugin güvenlik açığı, 22 Mart 2023’te Automattic’i bilgilendiren üçüncü taraf bir güvenlik araştırmacısı tarafından keşfedildi. Automattic hızla bir yama yayınladı. Güvenlik açığının ayrıntıları 6 Nisan 2023’te yayınlanacak. Bu, bu eklentiyi güncellemeyen herhangi bir sitenin savunmasız hale geleceği anlamına gelir.
WordPress Ödeme Eklentisi Güvenlik Açığı WooCommerce Payments Plugin’in Hangi Sürümü
WooCommerce, eklentiyi 5.6.2 sürümüne güncelledi. Bu, web sitesinin en güncel ve savunmasız olmayan sürümü olarak kabul edilir. Automattic, zorunlu bir güncellemeyi zorladı, ancak bazı siteler güncellemeyi almamış olabilir.
Etkilenen eklentinin tüm kullanıcılarının, kurulumlarının WooCommerce Payments Plugin 5.6.2 sürümüne güncellendiğini kontrol etmesi önerilir. Güvenlik açığı düzeltildikten sonra, WooCommerce aşağıdaki işlemleri yapmanızı önerir:
“Güvenli bir sürümü çalıştırdıktan sonra, sitenizde beklenmeyen yönetici kullanıcılar veya yayınlar olup olmadığını kontrol etmenizi öneririz. Beklenmedik bir faaliyete dair herhangi bir kanıt bulursanız şunları öneririz:
Özellikle aynı parolaları birden çok web sitesinde yeniden kullanıyorlarsa, sitenizdeki herhangi bir Yönetici kullanıcı için parolaları güncellemek.
Sitenizde kullanılan Ödeme Ağ Geçidi ve WooCommerce API anahtarlarını döndürme. WooCommerce API anahtarlarınızı nasıl güncelleyeceğiniz aşağıda açıklanmıştır. Diğer anahtarları sıfırlamak için lütfen bu belirli eklentilerin veya hizmetlerin belgelerine bakın.”
WooCommerce