Bilgisayar korsanları, web sitesi güvenliği zayıflıklarından yararlanmak için potansiyel bir giriş noktası sağladıklarından savunmasız WordPress eklentilerini hedef alır.
Bu eklentiler genellikle güncel olmayan kodlara veya bilinen güvenlik açıklarına sahiptir ve bu da onları aşağıdakileri arayan kötü niyetli aktörler için çekici hedefler haline getirir: –
- Web sitelerine izinsiz erişim
- Web sitelerine kötü amaçlı kod enjekte etmek
Son zamanlarda, 14 Aralık 2023’te, Wordfence’in “Tatil Bug Extravaganza” olarak adlandırılan Bug Bounty Programı sırasında, aşağıdaki siber güvenlik araştırmacıları “POST SMTP Mailer”da bir “Yetkilendirme Atlaması” güvenlik açığı bildirdi.
- Ulyses Saicha
- Sean Murphy
Bu, 300.000’den fazla aktif kuruluma sahip bir WordPress eklentisidir ve bu hatanın başarıyla kullanılması, bilgisayar korsanlarının API anahtarını sıfırlamasına izin verebilir.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
WordPress Eklentisi SMTP Hatası
WordPress sitelerindeki savunmasız Mailer eklentisini kullanan güvenlik açığı, yetkisiz tehdit aktörlerinin aşağıdakileri yapmasına olanak tanır:-
- API anahtarlarını sıfırla
- Günlükleri görüntüle
- Parola sıfırlama e-postalarına erişme
- Siteleri hacklemek
VSS Puanı 9,8 olan CVE-2023-6875 olarak tanımlanan kritik bir güvenlik açığı tespit edildi. Sorunu çözmek için kullanıcıların yamalı 2.8.8 sürümüne güncelleme yapması önemle tavsiye edilir.
Başka bir rapor, POST SMTP Mailer’ın, kötü amaçlı komut dosyalarının web sitelerine enjekte edilmesine izin veren bir Siteler Arası Komut Dosyası Çalıştırma güvenlik açığına sahip olduğunu ortaya çıkardı.
Siber güvenlik araştırmacıları Bounty Program Extravaganza’dan büyük bir ödül kazandılar ve aşağıda ödül rakamlarından bahsettik: –
- Ulyses Saicha 4.125$ kazandı
- Sean Murphy 825 dolar kazandı
8 Aralık 2023’te Wordfence’teki siber güvenlik analistleri WPExperts.io’yu güvenlik açığı hakkında bilgilendirdi ve 10 Aralık 2023 itibarıyla yanıtı aldılar.
Yanıt olarak WPExperts[.]io geliştiricileri derhal harekete geçti ve 1 Ocak 2024’te bir yama yayınladı. Sadece bu da değil, hatta tüm kullanıcıları güvenlik açığı bulunan sürümlerini derhal en son yama uygulanmış sürüm olan 2.8.8’e güncellemeye çağırdılar.
POST SMTP Mailer’daki (sürüm 2.8.7’ye kadar) güvenlik açığı, connect-app REST uç noktasındaki tür hokkabazlığı sorunu yoluyla yetkisiz erişime ve veri değişikliğine izin veriyor.
POST SMTP Mailer’da (sürüm 2.8.7’ye kadar) depolanan Siteler Arası Komut Dosyası oluşturma riski, ‘aygıt’ başlığındaki giriş temizliğinin yetersiz olmasından kaynaklanır ve kimliği doğrulanmamış saldırganlar zararlı komut dosyaları ekleyebilir.
Uygun maliyetli penetrasyon testi hizmetleri mi arıyorsunuz? Dijital sistemlerin güvenlik durumunu değerlendirmek ve değerlendirmek için Kelltron’u deneyin. Ücretsiz demo