WordPress için Gelişmiş Özel Alanlar eklentisi kullanıcılarından, bir güvenlik açığının keşfedilmesinin ardından 6.1.6 sürümünü güncellemeleri isteniyor.
CVE-2023-30777 tanımlayıcısı atanan sorun, aksi takdirde zararsız web sitelerine keyfi yürütülebilir komut dosyaları enjekte etmek için kötüye kullanılabilecek, yansıtılmış siteler arası komut dosyası çalıştırma (XSS) durumuyla ilgilidir.
Hem ücretsiz hem de pro versiyonu bulunan eklenti, iki milyondan fazla aktif kuruluma sahip. Sorun keşfedildi ve 2 Mayıs 2023’te bakımcılara bildirildi.
Patchstack araştırmacısı Rafie Muhammad, “Bu güvenlik açığı, kimliği doğrulanmamış herhangi bir kullanıcının hassas bilgileri çalmasına, bu durumda, ayrıcalıklı bir kullanıcıyı hazırlanmış URL yolunu ziyaret etmesi için kandırarak WordPress sitesinde ayrıcalık yükseltmesine izin veriyor” dedi.
Yansıtılmış XSS saldırıları genellikle kurbanlar, e-posta veya başka bir yolla gönderilen sahte bir bağlantıya tıklamaları için kandırıldığında ortaya çıkar ve kötü amaçlı kodun savunmasız web sitesine gönderilmesine neden olarak saldırıyı kullanıcının tarayıcısına geri yansıtır.
Sosyal mühendisliğin bu unsuru, yansıyan XSS’nin depolanmış XSS saldırılarıyla aynı erişime ve ölçeğe sahip olmadığı anlamına gelir ve bu da tehdit aktörlerinin kötü amaçlı bağlantıyı mümkün olduğu kadar çok kurbana dağıtmasına neden olur.
“[A reflected XSS attack] tipik olarak, bir web uygulamasının işlevlerinin manipüle edilmesine ve kötü amaçlı komut dosyalarının etkinleştirilmesine izin veren, gelen isteklerin yeterince sterilize edilmemesinin bir sonucudur,” diyor Imperva.
CVE-2023-30777’nin, yalnızca eklentiye erişimi olan oturum açmış kullanıcılar tarafından yapılması mümkün olsa da, Gelişmiş Özel Alanların varsayılan kurulumunda veya yapılandırmasında etkinleştirilebileceğini belirtmekte fayda var.
Geliştirme, Craft CMS’nin bir tehdit aktörü tarafından kötü niyetli yüklere hizmet etmek için kullanılabilecek iki orta önem dereceli XSS kusurunu (CVE-2023-30177 ve CVE-2023-31144) düzeltme eki yapmasıyla geldi.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
Ayrıca cPanel ürünündeki (CVE-2023-29489, CVSS puanı: 6.1) başka bir XSS kusurunun ifşa edilmesinin ardından, rastgele JavaScript çalıştırmak için herhangi bir kimlik doğrulaması yapılmadan istismar edilebilir.
Assetnote’tan Shubham Shah, “Bir saldırgan yalnızca cPanel’in yönetim bağlantı noktalarına değil, aynı zamanda 80 ve 443 numaralı bağlantı noktalarında çalışan uygulamalara da saldırabilir.”
“Kimliği doğrulanmış bir cPanel kullanıcısı adına hareket ettikten sonra, bir web kabuğu yüklemek ve komut yürütme elde etmek genellikle önemsizdir.”