Wordpress kullanıcıları; Dikkat!
"Ultimate Addons" Beaver veya Elemantor kullanıyorsanız ve kısa süre önce bunları en son sürümlerle güncellememişseniz, web siteniz kolayca saldırıya uğrayabilir.
Güvenlik araştırmacıları, yaygın olarak kullanılan premium WordPress eklentilerinde, uzaktan saldırganların herhangi bir parola gerektirmeden sitelere yönetimsel erişim elde etmelerine olanak tanıyan, kritik ve kullanımı kolay bir kimlik doğrulaması atlama güvenlik açığı buldular.
Daha da endişe verici olan, fırsatçı saldırganların, güvenlik açığı bulunan WordPress web sitelerini tehlikeye atmak ve daha sonra erişim için kötü amaçlı bir backdoor kurmak için keşiflerini takip eden 2 gün içinde bu güvenlik açığından yararlanmaya başlamış olmaları.
Yazılım geliştirme şirketi Brainstorm Force tarafından yapılan her iki savunmasız eklenti, şu anda Elementor ve Beaver Builder çerçevelerini kullanarak yüz binlerce WordPress web sitesine güç veriyor ve web sitelerinin yöneticilerine ve tasarımcılarına web sitelerinin işlevselliğini daha fazla widget, modül, sayfa şablonu ile genişletmelerinde yardımcı oluyor.
Web güvenlik hizmeti MalCare'deki araştırmacılar tarafından keşfedilen güvenlik açığı, her iki eklentinin de WordPress hesap sahiplerinin yöneticiler de dahil olmak üzere Facebook ve Google oturum açma mekanizmalarıyla kimlik doğrulaması yapmasına izin veriyor.
Bu güvenlik açığı Facebook veya Google üzerinden bir kullanıcı oturum açtığında kimlik doğrulama yönteminde kontrol yapılmaması nedeniyle, güvenlik açığı bulunan eklentilerin, kötü amaçlı kullanıcıların herhangi bir parola gerektirmeden başka bir hedef kullanıcı olarak oturum açmasına izin vermek için kullanılabilir.
Açığı analiz eden ve aktif olduğunu doğrulayan WebARX araştırmacıları, "Facebook ve Google kimlik doğrulama yöntemleri, Facebook ve Google tarafından döndürülen token'ı doğrulamadı ve bir şifre gerektirmediklerinden, şifre kontrolü olmadı." dedi.
MalCare, Çarşamba günü, eklentilerin aşağıda listelenen sürümlerini etkileyen bu güvenlik açığını tespit etti ve aynı gün içinde geliştiricilere bildirdi. Bu sayede sorunu hızla çözdü ve her ikisi de yalnızca 7 saat içinde yamalı sürümlerini yayınladı.
- Ultimate Addons for Elementor <= 1.20
- Ultimate Addons for Beaver Builder <= 1.24.0
"Kimlik doğrulama baypas" güvenlik açığı, web sitelerinin en kısa sürede kurulması önemle tavsiye edilen "Elementor 1.20.1 için Ultimate Eklentileri" ve "Beaver Builder için Ultimate Eklentiler için 1.24.1" sürümünün yayınlanmasıyla düzeltildi.
thehackernews'dan alıntıdır.
Hiç yorum yok:
Yorum Gönder