WordPress’in GiveWP bağış ve bağış toplama eklentisinde, 100.000’den fazla web sitesini uzaktan kod çalıştırma saldırılarına maruz bırakan maksimum düzeyde bir güvenlik açığı ortaya çıkarıldı.
CVE-2024-5932 (CVSS puanı: 10.0) olarak izlenen bu kusur, 7 Ağustos 2024’te yayınlanan 3.14.2 sürümünden önceki tüm eklenti sürümlerini etkiliyor. Çevrimiçi takma adı villu164 olan bir güvenlik araştırmacısının sorunu keşfedip bildirdiği kabul ediliyor.
Wordfence bu hafta yayınladığı raporda, eklentinin “3.14.1’e kadar olan tüm sürümlerde, ‘give_title’ parametresinden gelen güvenilmeyen girdinin seri hale getirilmesi yoluyla PHP Nesne Enjeksiyonuna karşı savunmasız” olduğunu belirtti.
“Bu, kimliği doğrulanmamış saldırganların bir PHP Nesnesi enjekte etmesini mümkün kılar. Bir POP zincirinin ek varlığı, saldırganların uzaktan kod yürütmesine ve keyfi dosyaları silmesine olanak tanır.”
Güvenlik açığı, bağış bilgilerini (ödeme ayrıntıları dahil) belirtilen ağ geçidine geçirmeden önce girilen form verilerini doğrulamak ve temizlemek için kullanılan “give_process_donation_form()” adlı bir işlevden kaynaklanıyor.
Bu açığın başarılı bir şekilde istismar edilmesi, kimliği doğrulanmış bir tehdit aktörünün sunucuda kötü amaçlı kod yürütmesine olanak tanıyabilir; bu da kullanıcıların örneklerini en son sürüme güncellemek için adımlar atmasını zorunlu hale getirir.
Açıklama, Wordfence’in ayrıca InPost PL ve InPost for WooCommerce WordPress eklentilerinde (CVE-2024-6500, CVSS puanı: 10.0) kimliği doğrulanmamış tehdit aktörlerinin wp-config.php dosyası da dahil olmak üzere keyfi dosyaları okumasına ve silmesine olanak tanıyan bir başka kritik güvenlik açığını ayrıntılı olarak açıklamasından birkaç gün sonra geldi.
Linux sistemlerinde yalnızca WordPress kurulum dizinindeki dosyalar silinebilir, ancak tüm dosyalar okunabilir. Sorun 1.4.5 sürümünde düzeltildi.
5.000’den fazla etkin kurulumu olan bir WordPress eklentisi olan JS Help Desk’teki bir diğer kritik eksiklik de (CVE-2024-7094, CVSS puanı: 9.8) PHP kod enjeksiyonu açığı nedeniyle uzaktan kod yürütmeyi etkinleştirmesi olarak ortaya çıkarıldı. Güvenlik açığı için bir yama 2.8.7 sürümünde yayınlandı.
Çeşitli WordPress eklentilerinde çözülen diğer güvenlik açıklarından bazıları aşağıda listelenmiştir –
- CVE-2024-6220 (CVSS puanı: 9,8) – Kimliği doğrulanmamış saldırganların etkilenen sitenin sunucusuna keyfi dosyalar yüklemesine olanak tanıyan ve sonuç olarak kod yürütülmesine neden olan 简数采集器 (Keydatas) eklentisindeki keyfi bir dosya yükleme kusuru
- CVE-2024-6467 (CVSS puanı: 8,8) – Abone düzeyinde ve üzeri erişime sahip kimliği doğrulanmış saldırganların keyfi dosyalar oluşturmasına ve keyfi kod yürütmesine veya hassas bilgilere erişmesine olanak tanıyan BookingPress randevu rezervasyon eklentisindeki keyfi bir dosya okuma kusuru
- CVE-2024-5441 (CVSS puanı: 8,8) – Modern Events Calendar eklentisinde, abone erişimi ve üzeri olan kimliği doğrulanmış saldırganların etkilenen sitenin sunucusuna keyfi dosyalar yüklemesine ve kod yürütmesine olanak tanıyan keyfi bir dosya yükleme hatası
- CVE-2024-6411 (CVSS puanı: 8,8) – ProfileGrid’de bir ayrıcalık yükseltme hatası – Abone düzeyinde ve üzeri erişime sahip kimliği doğrulanmış saldırganların kullanıcı yeteneklerini bir Yöneticininkine güncellemesine olanak tanır
Bu güvenlik açıklarına karşı yama uygulamak, site ziyaretçilerinin girdiği finansal bilgileri toplayabilen kredi kartı kopyalama yazılımlarını kullanmak için bu açıkları kullanan saldırılara karşı önemli bir savunma hattıdır.
Geçtiğimiz hafta Sucuri, PrestaShop e-ticaret sitelerine, kredi kartı bilgilerini çalmak için WebSocket bağlantısı kullanan kötü amaçlı JavaScript enjekte eden bir dolandırıcılık kampanyasını açığa çıkardı.
GoDaddy’nin sahibi olduğu web sitesi güvenlik şirketi, WordPress site sahiplerini geçersiz eklenti ve temaları yüklememeleri konusunda uyardı ve bunların kötü amaçlı yazılımlar ve diğer kötü amaçlı faaliyetler için bir taşıyıcı görevi görebileceğini belirtti.
Sucuri, “Sonuç olarak, meşru eklenti ve temaları kullanmak, sorumlu web sitesi yönetiminin temel bir parçasıdır ve güvenlik, kısayol uğruna asla tehlikeye atılmamalıdır” dedi.