Rank Math eklentisindeki güvenlik açığı 2 milyondan fazla WordPress web sitesini etkiliyor. Depolanan Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığı veya CVE-2024-2536 olarak tanımlanan kusur, kötü niyetli aktörlerin zararlı komut dosyalarını enjekte etmesine ve yürütmesine olanak tanıyarak hassas verileri riske açık hale getirebileceğinden ciddi bir risk oluşturur.
WordPress web siteleri için gelişmiş bir eklenti olan Rank Math, birden fazla eklentiyle uğraşmadan SEO çalışmalarını kolaylaştırmak isteyen kullanıcılar tarafından uzun süredir tercih edilmektedir. Bu kusuru hafifletmek için eklentinin arkasındaki geliştiriciler, güvenlik açığına karşı güvenlik yamaları yayınladı.
Rank Math Eklentisindeki Güvenlik Açığı Açıklaması
Wordfence'in güvenlik araştırmacılarına göre, araştırmacı Ngô Thiên An (ancorn_) tarafından keşfedilen Rank Math eklentisi güvenlik açığının izini, eklentinin HowTo bloğu içindeki özniteliklerin işlenmesiyle ilgili olduğu ve 1.0.214'e kadar olan tüm sürümlerde yaygın olduğu belirlendi.
Giriş temizleme ve çıkıştan kaçıştaki bu gözetim, katılımcı düzeyinde veya daha yüksek erişime sahip, kimliği doğrulanmış saldırganların rastgele web komut dosyaları yerleştirme yeteneğine sahip olmasını sağlar. Sonuç olarak, bu komut dosyaları, bir kullanıcı etkilenen sayfaya her eriştiğinde yürütülebilir ve potansiyel olarak kullanıcı oturumlarını ve hassas verileri tehlikeye atabilir.
“WordPress için AI SEO Araçları eklentisine sahip Rank Math SEO, yetersiz giriş temizleme ve kullanıcı tarafından sağlanan özelliklerden kaçan çıktı nedeniyle 1.0.214'e kadar olan tüm sürümlerde HowTo blok özellikleri aracılığıyla Depolanan Siteler Arası Komut Dosyasına karşı savunmasızdır” , dedi Wordfence.
Depolanan Siteler Arası Komut Dosyası Çalıştırma (XSS) Güvenlik Açığı Nedir?
Bunun gibi depolanan XSS güvenlik açıkları, saldırganların kötü amaçlı komut dosyaları yüklemesine olanak tanıyarak, oturum çerezlerinin çalınmasına yol açabilecek tarayıcı tabanlı saldırılara yol açarak web sitelerine yetkisiz erişime ve kritik bilgilerin sızmasına olanak tanır.
Bu güvenlik açığının temel nedeni, yetersiz giriş temizleme ve çıkış kaçışında yatmaktadır; eklenti geliştirmede, özellikle kullanıcıların veri yüklemesine veya girmesine izin verilen alanlarda XSS güvenlik açıklarının ortaya çıkmasına izin veren yaygın tuzaklar vardır.
Wordfence, “Bu, katılımcı düzeyinde ve üzeri erişime sahip, kimliği doğrulanmış saldırganların, kullanıcı enjekte edilen bir sayfaya eriştiğinde yürütülecek sayfalara rastgele web komut dosyaları yerleştirmesini mümkün kılıyor” diye ekledi.
Giriş temizleme, komut dosyaları veya HTML gibi istenmeyen girişlerin filtrelenmesini ve yalnızca beklenen metin girişlerinin işlenmesini sağlamayı içerir. Öte yandan çıkış kaçışı, kötü amaçlı komut dosyalarının web sitesi tarayıcısına ulaşmasını önlemek için web sitesinin çıkışını doğrular.
Neyse ki Rank Math, güvenlik açığını gidermek için yamalar yayınlayarak bu sorunu derhal çözdü. Web sitesi yöneticilerinin, web sitelerinin güvenlik duruşunu korumak için Rank Math SEO eklentisini gecikmeden en son sürüme güncellemeleri şiddetle tavsiye edilir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.