500.000’den fazla sitede kullanılan Forminator WordPress eklentisi, kötü niyetli kişilerin sunucuya sınırsız dosya yüklemesi gerçekleştirmesine olanak tanıyan bir kusura karşı savunmasızdır.
WPMU DEV tarafından hazırlanan Forminator, WordPress siteleri için sürükle ve bırak işlevselliği, kapsamlı üçüncü taraf entegrasyonları ve genel çok yönlülük sunan özel bir iletişim, geri bildirim, testler, anketler/anketler ve ödeme formları oluşturucusudur.
Perşembe günü, Japon CERT, güvenlik açığı notları portalında (JVN), Forminator’da uzaktaki bir saldırganın sitelere kötü amaçlı yazılım yüklemesine izin verebilecek kritik önem derecesine sahip bir kusurun (CVE-2024-28890, CVSS v3: 9.8) varlığına ilişkin bir uyarı yayınladı. eklentiyi kullanarak.
“Uzaktaki bir saldırgan, sunucudaki dosyalara erişerek hassas bilgiler elde edebilir, eklentiyi kullanan siteyi değiştirebilir ve hizmet reddi (DoS) durumuna neden olabilir.” -JVN
JPCERT’in güvenlik bülteni aşağıdaki üç güvenlik açığını listeliyor:
- CVE-2024-28890 – Dosya yükleme sırasında dosyaların yetersiz doğrulanması, uzaktaki bir saldırganın site sunucusuna kötü amaçlı dosyalar yüklemesine ve yürütmesine olanak tanır. Forminator 1.29.0 ve önceki sürümlerini etkiler.
- CVE-2024-31077 – Yönetici ayrıcalıklarına sahip uzak saldırganların sitenin veritabanında rastgele SQL sorguları yürütmesine olanak tanıyan SQL enjeksiyon kusuru. Etkiler Forminator 1.29.3 ve önceki sürümler.
- CVE-2024-31857 – Siteler arası komut dosyası çalıştırma (XSS) kusuru, uzaktaki bir saldırganın özel hazırlanmış bir bağlantıyı takip etmesi için kandırılması durumunda kullanıcının tarayıcısında rastgele HTML ve komut dosyası kodu yürütmesine olanak tanır. Forminator 1.15.4 ve daha eski sürümleri etkiler.
Forminator eklentisini kullanan site yöneticilerinin, eklentiyi mümkün olan en kısa sürede üç kusurun tamamını gideren 1.29.3 sürümüne yükseltmeleri önerilir.
WordPress.org istatistikleri, güvenlik güncellemesinin yayımlandığı 8 Nisan 2024’ten bu yana yaklaşık 180.000 site yöneticisinin eklentiyi indirdiğini gösteriyor. Tüm bu indirmelerin en son sürümle ilgili olduğunu varsayarsak hâlâ saldırılara karşı savunmasız olan 320.000 site var.
Bu yazının yazıldığı sırada, CVE-2024-28890’ın aktif olarak kullanıldığına dair kamuya açık bir rapor bulunmuyordu ancak kusurun ciddiyeti ve bundan yararlanmak için karşılanması kolay gereksinimler nedeniyle yöneticilerin güncellemeyi erteleme riski şu şekildedir: yüksek.
WordPress sitelerinde saldırı yüzeyini en aza indirmek için mümkün olduğunca az eklenti kullanın, en kısa sürede en son sürüme güncelleyin ve aktif olarak kullanılmayan/ihtiyaç duyulmayan eklentileri devre dışı bırakın.