Patchstack güvenlik araştırmacıları geçtiğimiz günlerde ‘Gelişmiş Özel Alanlar’ ve ‘Gelişmiş Özel Alanlar Pro’ WordPress eklentilerinin siteler arası komut dosyası çalıştırma saldırıları (XSS) riski altında olduğu konusunda uyardı.
Milyonlarca web sitesine yüklenen bu WP eklentileri, güvenlik ihlallerine karşı savunmasız olabilir.
‘Gelişmiş Özel Alanlar’ ve ‘Gelişmiş Özel Alanlar Pro’ eklentileri, WordPress için ünlü özel alan oluşturuculardır ve 2 milyondan fazla aktif kurulumla önemli bir kullanıcı tabanı biriktirmiştir.
2 Mayıs 2023’te Patchstack araştırmacısı Rafie Muhammad tarafından ciddi bir yansıyan XSS güvenlik açığı tespit edildi ve güvenlik açığı “CVE-2023-30777” olarak izlendi.
Gelişmiş Özel Alanlardaki Güvenlik Açığı
XSS güvenlik açıkları, kötü niyetli aktörlerin, şüphelenmeyen kullanıcılar tarafından erişilen web sitelerine zararlı komut dosyaları yerleştirmesi için bir ağ geçidi sağlar.
Kısacası, bu, kodun ziyaretçinin tarayıcısında çalışmasını ve güvenliklerini tehlikeye atmasını sağlar. Patchstack’e göre, kimliği doğrulanmamış bir saldırgan, gizli verileri çalmak ve hatta güvenliği ihlal edilmiş bir WordPress sitesinde ayrıcalıklarını yükseltmek için XSS güvenlik açığından yararlanabilir.
Bunun dışında, bu kusurun Gelişmiş Özel Alanlar eklentisinin varsayılan kurulumunda veya yapılandırmasında da etkinleştirilebileceğini not etmek çok önemlidir.
Bu güvenlik açığından yararlanmak için kimliği doğrulanmamış bir tehdit aktörünün, eklenti erişimi olan birini kötü amaçlı bir URL’yi ziyaret etmeye ikna etmek için sosyal mühendislik taktikleri kullanması gerekir. Kısacası, bu güvenlik açığı, saldırganın doğrudan saldırısıyla tetiklenemez.
Eklenti geliştiricisi, Patchstack güvenlik açığını dikkatlerine sunduğu anda hemen harekete geçti.
4 Mayıs 2023’te, sorunu gideren ve artık 6.1.6 sürümü olarak mevcut olan bir güvenlik güncellemesini hızla yayınladılar.
Bu güvenlik açığı (CVE-2023-30777), “admin_body_class” işlev işleyicisinden kaynaklanmaktadır. Aynı zamanda, bu işleyici, CSS sınıflarını yöneten bir kancanın çıktı değerini yeterince temizlemedi.
Saldırgan, eklenti kodunda güvenli olmayan bir doğrudan kod dizisi değişkeninden (“$this→view”) yararlanabilir. Aktörler, bu tehditten yararlanarak, sonunda bir sınıf dizgisine iletilen segmentlere DOM XSS yükleri gibi kötü niyetli kodlar ekleyebilir.
Ayrıca, eklentinin ‘sanitize_text_field’ temizleme işlevinin bu saldırıyı engelleyemeyeceğini belirtmekte fayda var.
Bunun nedeni, enjekte edilen kötü amaçlı kodu algılayıp etkisiz hale getirememesidir. Bu nedenle, enjekte edilen kod yine de geçebilir ve potansiyel olarak zarar verebilir.
Eklentinin 6.1.6 sürümünde geliştirici, ‘esc_attr’ adlı yeni bir işlev sunarak güvenlik açığını gidermiştir.
Bu işlev, ‘admin_body_class’ kancasının çıktı değeri üzerinde kapsamlı bir temizlik gerçekleştirerek herhangi bir XSS saldırısının oluşmasını etkili bir şekilde önler.
Açıklama Zaman Çizelgesi
Aşağıda, açıklama zaman çizelgesinden bahsetmiştik:-
- 02-05-2023: Uzmanlar güvenlik açığını buldu ve eklenti satıcısına ulaştı.
- 04-05–2023: Gelişmiş Özel Alanlar ücretsiz ve profesyonel eklenti sürümü 6.1.6, bildirilen sorunlara yama yapmak için yayınlandı.
- 05-05-2023: Güvenlik açıkları Patchstack güvenlik açığı veritabanına eklendi.
Siber güvenlik analistleri, tüm ‘Gelişmiş Özel Alanlar’ ve ‘Gelişmiş Özel Alanlar Pro’ kullanıcılarının derhal 6.1.6 sürümüne veya daha yeni bir sürüme yükseltmelerini şiddetle tavsiye ediyor.
Bunu yapmak, güvenlik açığını giderecek ve web sitelerini olası güvenlik ihlallerinden koruyacaktır.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin