WordPress’in en popüler eklentilerinden birindeki kritik bir güvenlik açığı, 4 milyondan fazla web sitesini potansiyel bilgisayar korsanlığı girişimlerine karşı savunmasız bıraktı.
Daha önce Gerçekten Basit SSL olarak bilinen Gerçekten Basit Güvenlik eklentisi, saldırganların etkilenen sitelere tam yönetim erişimi elde etmesine olanak tanıyan bir kimlik doğrulama atlama güvenlik açığı içeriyor.
Wordfence Tehdit İstihbaratı ekibi tarafından 6 Kasım 2024’te keşfedilen güvenlik açığı, Real Simple Security eklentisinin ücretsiz, pro ve profesyonel çoklu site sürümleri de dahil olmak üzere 9.0.0 ile 9.1.1.1 arasındaki sürümlerini etkiliyor.
Kusur, “9,8” kritik CVSS puanı alan “CVE-2024-10924” olarak takip edildi. Güvenlik sorunu, eklentinin iki faktörlü kimlik doğrulama özelliğindeki hatalı hata işlemeden kaynaklanıyor.
Wordfence’teki güvenlik analistleri, bu güvenlik açığı etkinleştirildiğinde, kimliği doğrulanmamış saldırganların kimlik doğrulamayı atlayarak yöneticiler de dahil olmak üzere sitedeki mevcut herhangi bir kullanıcı olarak oturum açmasına olanak tanıdığını belirledi. Bu potansiyel olarak sitenin tamamen tehlikeye girmesine ve daha fazla enfeksiyona yol açabilir.
Free Ultimate Continuous Security Monitoring Guide - Download Here (PDF)
Teknik analiz
Etkilenen eklentinin geliştiricisi Gerçekten Basit Eklentiler, 6 Kasım’da bilgilendirildi ve hemen yanıt verdi. Profesyonel sürümler için 12 Kasım’da, ücretsiz sürüm için ise 14 Kasım’da yamalar yayınladılar.
Güvenlik açığının ciddiyeti nedeniyle WordPress[.]org eklentileri ekibi, etkilenen tüm kurulumlar için 9.1.2 sürümüne zorunlu bir güvenlik güncellemesi başlattı.
Çoğu sitenin otomatik olarak güncellenmesi gerekirken, web sitesi sahiplerinin kurulumlarının 9.1.2 veya daha yeni bir sürüme yamalandığını doğrulamaları önemle tavsiye edilir.
.webp)
Geçerli bir lisansa sahip olmayan sitelerde otomatik güncellemeler çalışmayabileceğinden, profesyonel sürüm kullanıcılarının sitelerinin güncellendiğinden emin olmaları özellikle önemlidir.
Güvenlik uzmanları, eklentileri güncel tutmanın ve bilinen güvenlik açıklarını düzenli olarak kontrol etmenin önemini vurguluyor.
Web sitesi yöneticilerinin saygın güvenlik eklentileri kullanmaları, tüm yazılım bileşenlerini güncel tutmaları ve bilinen güvenlik sorunları olan eklentileri derhal devre dışı bırakmaları veya kaldırmaları önerilir.
Bu olay, WordPress ekosisteminde devam eden güvenlik sorunlarını net bir şekilde hatırlatıyor. Web sitelerini potansiyel tehditlerden korumak için dikkatli olmaya, düzenli güncellemelere ve güçlü güvenlik uygulamalarına olan kritik ihtiyacın altını çiziyor.
Analyze Unlimited Phishing & Malware with ANY.RUN For Free - 14 Days Free Trial.