A WordPress eklentisi 6 milyondan fazla kez yüklenen bu dosya, saldırganların ayrıcalıkları yükseltmesine ve etkilenen web sitesine yeniden yönlendirmeleri, reklamları ve diğer HTML yüklerini etkinleştirmek için potansiyel olarak kötü amaçlı kod yüklemesine olanak tanıyan bir siteler arası komut dosyası çalıştırma kusuruna (XSS) karşı savunmasızdır.
Çevrimiçi adıyla anılan bir güvenlik araştırmacısı “TaiYou” kusuru keşfetti ve şu şekilde takip edildi: CVE-2024-47374WordPress içerik yönetim sistemi (CMS) için en popüler önbellek eklentisi olarak bilinen LiteSpeed Cache’de. TaiYou kusuru 24 Eylül’de Patchstack’a bildirdi. WordPress için Patchstack Hata Ödül Programı; LiteSpeed Cache’i 6.5.0.2 sürümüne kadar etkiler ve kullanıcıların saldırılara karşı savunmasız kalmamak için hemen güncelleme yapması gerekir.
LiteSpeed Önbellek geliştiricileri tarafından anlatılıyor “özel bir sunucu düzeyinde önbellek ve bir dizi optimizasyon özelliği içeren, hepsi bir arada site hızlandırma eklentisi” olarak. WordPress Multisite’ı destekler ve WooCommerce, bbPress ve Yoast SEO dahil en popüler eklentilerle uyumludur.
Derhal ilgilenilmesi gereken kusur, kimliği doğrulanmamış bir kullanıcının, bu durumda, kimlik doğrulaması yapılmamış herhangi bir kullanıcının hassas bilgileri çalmasına ve bu durumda ayrıcalık yükseltmesine izin verebilecek, kimliği doğrulanmamış bir depolanmış XSS güvenlik açığıdır. WordPress sitesi Patchstack’a göre tek bir HTTP isteği gerçekleştirerek”.
XSS en çok kullanılanlardan biridir Sıklıkla istismar edilen ve en eski Web güvenlik açıklarıBir saldırganın, siteyi ziyaret eden kişiyi etkileyen kötü amaçlı komut dosyalarını yürütmek için meşru bir web sayfasına veya uygulamaya kötü amaçlı kod yerleştirmesine olanak tanır.
Üç WordPress Eklenti Kusuru, Bir Tehlikeli
TaiYou aslında eklentide üç kusur buldu; bunlar arasında bir diğeri de var XSS kusuru aynı zamanda bir yol geçişi güvenlik açığı. Ancak Patchstack’a göre yalnızca CVE-2024-47374 tehlikeli olarak değerlendiriliyor ve saldırganlar tarafından kullanılması bekleniyor.
Patchstack’ın bildirimi üzerine, LiteSpeed önbellek eklentisinin geliştiricileri aynı gün doğrulama için bir düzeltme eki geri gönderdiler. Patchstack, 25 Eylül’de LiteSpeed önbellek sürüm 6.5.1’deki üç kusuru da düzelten bir güncelleme yayınladı ve kusurları beş gün sonra güvenlik açığı veritabanına ekledi.
CVE-2024-47374, “Web Sayfası Oluşturma Sırasında Girişin Uygunsuz Şekilde Nötrleştirilmesi” oluşturmasıyla karakterize edilmektedir. onun listesi CVEdetails.com’da. Listeye göre “Ürün, kullanıcı tarafından kontrol edilebilen girdiyi, diğer kullanıcılara sunulan bir web sayfası olarak kullanılan çıktıya yerleştirilmeden önce etkisiz hale getirmiyor veya hatalı bir şekilde etkisiz hale getiriyor.”
Patchstack’a göre güvenlik açığı, eklentinin belirli bir parçasındaki kuyruğun görünümünü işleyen kodun temizleme ve çıktı kaçışını uygulamaması nedeniyle ortaya çıkıyor.
Blog gönderisine göre “Eklenti, benzersiz CSS üretimi için sıraya alınan URL’lerin bir listesini çıkarır ve URL ile birlikte ‘Değişken Grup’ adı verilen başka bir işlevsellik Yönetici sayfasında yazdırılır.”
Bu çıktıda, “Grubu Değiştir” işlevi, “önbellek değişir” ve “kullanıcı rolleri” kavramlarını birleştirir. Patchstack’a göre “Güvenlik açığı, Vary Group’un bir kullanıcı tarafından bir HTTP Başlığı aracılığıyla sağlanabilmesi ve yönetici sayfasında temizlenmeden yazdırılabilmesi nedeniyle ortaya çıkıyor.”
CVE-2024-47374’ü Güncelleyin ve Azaltın
Web siteleri için temel olarak yaygın kullanımı nedeniyle, WordPress platformu ve eklentileri özellikle tehdit aktörleri için oldukça popüler bir hedeftir ve onlara geniş bir saldırı yüzeyine kolay erişim sağlar. Saldırganlar özellikle hedeflemeyi sever tekil eklentiler LiteSpeed Cache’in savunmasız sürümlerini olası bir hedef haline getiren geniş kurulum tabanlarına sahiptir.
Patchstack’a göre CVE-2024-47374 yaması “oldukça basit” ve çıktıyı esc_html kullanarak temizliyor. Şirket, müşterileri sabit bir sürüme güncelleme yapana kadar her türlü saldırıyı engelleyerek kusuru azaltmak için sanal bir yama yayınladı. Bu arada, LiteSpeed Cache kullanan tüm WordPress site yöneticilerinin derhal sabit 6.5.1 sürümüne güncelleme yapmaları tavsiye edilir.
Patchstack ayrıca şunu önerir: WordPress web sitesi geliştiricileri eklentiyle çalışırken, güvenlik açığını azaltmak için yönetici bildirimi olarak görüntülenecek herhangi bir mesaja kaçış ve temizleme uygulayın.
Gönderiye göre “Verilerin bağlamına bağlı olarak, HTML çıktısı (HTML özelliğinin dışında) değerini temizlemek için sanitize_text_field veya esc_html kullanılmasını öneririz.” “Özniteliklerin içindeki değerlerden kaçmak için esc_attr işlevini kullanabilirsiniz.”
Patchstack ayrıca, LiteSpeed Cache ile çalışan site geliştiricilerinin, bir siteyi XSS güvenlik açığına maruz bırakmamak için kayıtlı dinlenme rotası uç noktalarına uygun bir izin veya yetkilendirme kontrolü uygulamasını da önerir.