Bu hafta WordPress 6.0.3 dağıtılmaya başlandı. En son güvenlik güncellemesi 16 kusuru düzeltir.
Açık yönlendirme, veriye maruz kalma, siteler arası istek sahteciliği (CSRF) ve SQL enjeksiyon güvenlik açıklarını ele almanın yanı sıra, WordPress 6.0.3 artık dokuz depolanmış ve yansıtılmış siteler arası komut dosyası çalıştırma (XSS) güvenlik açığını ele alıyor.
Her bir güvenlik açığı, WordPress güvenlik firması Defiant tarafından tanımlanmıştır. Bunlardan dördü “yüksek şiddette”, diğerleri “orta” veya “düşük” şiddette olarak sınıflandırılır.
İşletme şu uyarıda bulundu: “Bu güvenlik açıklarının toplu istismar olarak algılanma olasılığının düşük olduğunu gördük, ancak bunların birçoğu potansiyel olarak bilgili saldırganların özel saldırılar yoluyla yüksek değerli siteleri hacklemeleri için bir mekanizma sunuyor.”
Bir web sitesine e-posta yoluyla gönderi gönderebilen bir kişi, gönderilere kötü amaçlı JavaScript kodu eklemek için yüksek önemdeki güvenlik açıklarından birinden, depolanmış bir XSS kusurundan yararlanabilir. Kötü amaçlı gönderiye erişildiğinde kod çalıştırılır.
Bir diğer ciddi zayıflık, kimliği doğrulanmamış bir saldırganın medya kitaplığında kötü amaçlı bir arama sorgusu oluşturarak rastgele kod yürütmek için kullanabileceği yansıtılmış bir XSS’dir. Saldırganın yetkilendirilmesi gerekmediğinden Defiant, bunun bu sürümdeki en açıklardan yararlanılabilen güvenlik açığı olabileceğine inanıyor. Sömürü, kullanıcı etkileşimi gerektirir ve bir yük oluşturmak zordur.
Üçüncü yüksek önemdeki sorun, üçüncü taraf bir eklentinin veya temanın yararlanabileceği bir SQL enjeksiyonudur; WordPress çekirdeği etkilenmeden kalır.
Son ciddi sorun, kimliği doğrulanmamış bir saldırganın yetkili bir kullanıcı adına bir geri izleme göndermesine olanak tanıyan bir CSRF kusurudur, ancak etkili bir sömürü sosyal mühendislik gerektirir.
Arka plan güncellemelerini otomatik olarak destekleyen WordPress web siteleri bir yama alacaktır. Aşağıdaki önemli güncelleme olan Sürüm 6.1’in 1 Kasım’da yapılması planlanıyor.
Sucuri’nin 2021 Web Sitesi Tehdit Araştırması Raporuna göre, WordPress web siteleri CMS enfeksiyonlarının %95’inden fazlasını oluşturuyordu ve siber güvenlik şirketinin kredi kartı skimmer’ını keşfettiği web sitelerinin neredeyse üçte biri WordPress kullanıyordu.