Yeni açıklanan bir güvenlik açığı Gutentor – Gutenberg Blokları – Gutenberg Editörü için Sayfa Oluşturucu WordPress eklentisi, web sitesi yöneticileri ve geliştiricileri arasında endişelere yol açtı.
Olarak tanımlanan kusur CVE-2024-10178katılımcı düzeyinde veya daha yüksek erişime sahip saldırganların, eklentinin Geri Sayım widget’ı aracılığıyla web sayfalarına kötü amaçlı komut dosyaları eklemesine olanak tanır.
Bu güvenlik açığı eklentinin tüm sürümlerini etkilemekle birlikte, 3.3.9.
Sorun şundan kaynaklanıyor: yetersiz giriş temizliği ve çıkış kaçışı Geri Sayım widget’ındaki kullanıcı tarafından sağlanan niteliklerde.
Bu uygunsuz kullanım, saldırganların Depolanan Siteler Arası Komut Dosyası Çalıştırma (XSS) saldırılar. Kötü amaçlı bir komut dosyası enjekte edildikten sonra, kullanıcı güvenliği ihlal edilmiş sayfaya her eriştiğinde yürütülür ve potansiyel olarak veri hırsızlığına, oturumun ele geçirilmesine veya diğer zararlı eylemlere yol açar.
Wordfence’teki araştırmacılar, güvenlik açığının orta şiddette olarak sınıflandırıldığını ve CVSS puanı 6,4potansiyel etkisini ve kullanım kolaylığını yansıtır.
Özellikle saldırının, etkilenen sayfaya erişmenin ötesinde hiçbir kullanıcı etkileşimi gerektirmemesi, durumu özellikle çok kullanıcılı WordPress sitelerini yöneten yöneticiler için endişe verici hale getiriyor.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Kusur Profili
.webp)
Güvenlik açığı kamuya açıklandı 4 Aralık 2024ve sürümde bir yama yayınlandı 3.4.0 eklentinin. Web sitesi yöneticilerine aşağıdakiler şiddetle tavsiye edilir: –
- Gutentor eklentisini hemen güncelleyin 3.4.0 veya üzeri sürüme.
- Katkıda bulunan düzeyindeki erişimle ilişkili riskleri en aza indirmek için kullanıcı rollerini ve izinlerini gözden geçirin.
- Kötü amaçlı etkinlikleri izlemek ve engellemek için web uygulaması güvenlik duvarları (WAF) gibi ek güvenlik önlemleri uygulayın.
Bunun gibi depolanan XSS güvenlik açıkları, özellikle giriş doğrulama ve çıkıştan kaçış konusunda güvenli kodlama uygulamalarının önemini vurgulamaktadır.
Yaygın kullanıma sahip eklentiler (Gutenberg ekosisteminin bir parçası olan Gutentor gibi) güvenlik açıklarından yararlanıldığında önemli riskler oluşturur.
Güvenlik açığı güvenlik araştırmacısı tarafından keşfedildi Webbernaut ve birden fazla güvenlik veritabanında belgelenmiştir.
Yöneticilerin, güvenilir kaynaklar aracılığıyla eklentilerdeki güvenlik açıkları hakkında bilgi sahibi olmaları ve güncellemeler yayınlandığında hemen harekete geçmeleri teşvik edilir.
WordPress site sahipleri bu sorunu hızlı bir şekilde çözerek web sitelerini potansiyel istismardan koruyabilir ve kullanıcıların platformlarına olan güvenini koruyabilirler.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses