WordPress SiteOrigin Widget Paketi Eklentisindeki Güvenlik Açığı +600.000 Siteyi Etkiliyor

WordPress SiteOrigin Widget Paketi Eklentisindeki Güvenlik Açığı +600.000 Siteyi Etkiliyor

600.000’den fazla kuruluma sahip SiteOrigin Widgets Bundle WordPress eklentisi, saldırganların rastgele dosyalar yüklemesine ve site ziyaretçilerini kötü amaçlı komut dosyalarına maruz bırakmasına olanak tanıyan, kimliği doğrulanmış depolanan siteler arası komut dosyası çalıştırma (XSS) güvenlik açığını düzeltti.

SiteOrigin Widget Paketi Eklentisi

+600.000 aktif kurulumla SiteOrigins Widget’lar eklentisi, kaydırıcılar, atlıkarıncalar, haritalar gibi çok sayıda widget işlevini kolayca eklemenin, blog gönderilerinin görüntülenme şeklini değiştirmenin ve diğer yararlı web sayfası öğelerinin kolayca eklenmesini sağlar.

Depolanan Siteler Arası Komut Dosyası Çalıştırma Güvenlik Açığı

Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığı, bilgisayar korsanının kötü amaçlı komut dosyaları eklemesine (yüklemesine) olanak tanıyan bir kusurdur. WordPress eklentilerinde, bu tür güvenlik açıkları, girdi verilerinin düzgün bir şekilde temizlenmemesinden (güvenilmeyen veriler için filtrelenmemesinden) ve ayrıca çıktı verilerinin uygun şekilde güvence altına alınmamasından (kaçan veriler olarak adlandırılır) kaynaklanan kusurlardan kaynaklanır.

Saldırganın kötü amaçlı kodu sunucuya enjekte edebilmesi nedeniyle bu özel XSS güvenlik açığına Saklanan XSS adı verilir. Kâr amacı gütmeyen Dünya Çapında Açık Uygulama Güvenliği Projesi’ne (OWASP) göre, doğrudan web sitesinden saldırı başlatılabilmesi bunu özellikle endişe verici hale getiriyor.

OWASP, depolanan XSS tehdidini açıklar:

“Saklanan XSS olarak bilinen bu tür bir istismar özellikle sinsi çünkü veri deposunun neden olduğu yönlendirme, tehdidin tanımlanmasını zorlaştırıyor ve saldırının birden fazla kullanıcıyı etkileme olasılığını artırıyor. “

Bir komut dosyasının başarılı bir şekilde enjekte edildiği XSS saldırısında, saldırgan, şüphelenmeyen site ziyaretçisine zararlı bir komut dosyası gönderir. Kullanıcının tarayıcısı web sitesine güvendiği için dosyayı çalıştırır. Bu, saldırganın çerezlere, oturum belirteçlerine ve diğer hassas web sitesi verilerine erişmesine olanak tanıyabilir.

Güvenlik Açığı Açıklaması

Güvenlik açığı, girdilerin temizlenmesindeki ve verilerden kaçmadaki kusurlar nedeniyle ortaya çıktı.

Güvenlik için WordPress geliştirici sayfası temizleme işlemini açıklıyor:

“Girdilerin sterilize edilmesi, giriş verilerinin güvence altına alınması/temizlenmesi/filtrelenmesi işlemidir. Doğrulama daha spesifik olduğundan, doğrulama, temizlemeye göre tercih edilir. Ancak “daha spesifik” olmak mümkün olmadığında, bir sonraki en iyi şey sterilizasyondur.”

Bir WordPress eklentisindeki verilerden kaçmak, istenmeyen çıktıları filtreleyen bir güvenlik işlevidir.

Bu işlevlerin her ikisinin de SiteOrigins Widgets Bundle eklentisinde iyileştirilmesi gerekiyordu.

Wordfence güvenlik açığını şöyle açıkladı:

“WordPress için SiteOrigin Widgets Bundle eklentisi, yetersiz giriş temizleme ve çıkış kaçışı nedeniyle 1.58.3’e kadar (1.58.3 dahil) tüm sürümlerde onclick parametresi yoluyla Depolanan Siteler Arası Komut Dosyasına karşı savunmasızdır.”

Bu güvenlik açığı yürütülmeden önce kimlik doğrulaması gerektirir; bu, saldırganın bir saldırı başlatabilmesi için en azından katkıda bulunan düzeyinde erişime ihtiyacı olduğu anlamına gelir.

Tavsiye edilen eylem:

Güvenlik açığına 6,4/10 puanla orta CVSS önem düzeyi atandı. Güvenlik açığı 1.58.4 sürümünde yamalı olmasına rağmen, eklenti kullanıcıları en son sürüm olan 1.58.5 sürümüne güncelleme yapmayı düşünmelidir.

Wordfence güvenlik açığı bildirimini okuyun:

SiteOrigin Widget Paketi

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir


*


sweet bonanza oyna tuzla escort bostancı escort şişli escort halkalı escort avrupa yakası escort şişli escort avcılar escort esenyurt escort beylikdüzü escort mecidiyeköy escort istanbul escort şirinevler escort avcılar escort
mecidiyeköy escort ankara escort deneme bonusu veren siteler mamigeek.com