Bu hafta WordPress 6.0.3 dağıtılmaya başlandı. En son güvenlik güncellemesi 16 kusuru düzeltir.
Açık yeniden yönlendirme, veri ifşası, siteler arası istek sahteciliği (CSRF) ve SQL enjeksiyon güvenlik açıklarını ele almanın yanı sıra, WordPress 6.0.3 artık dokuz depolanmış ve yansıtılmış siteler arası komut dosyası çalıştırma (XSS) güvenlik açığını da ele alıyor.
Her güvenlik açığı, WordPress güvenlik firması Defiant tarafından açıklanmıştır. Dördü “yüksek şiddette”, diğerleri “orta” veya “düşük” şiddette olarak sınıflandırılır.
İşletme şu uyarıda bulundu: “Bu güvenlik açıklarının toplu istismarlar olarak algılanmasının pek olası olmadığını bulduk, ancak bunların birçoğu bilgili saldırganların özel saldırılar yoluyla yüksek değerli siteleri hacklemeleri için potansiyel bir mekanizma sunuyor.”
Bir web sitesine e-posta yoluyla gönderi gönderebilen bir kişi, gönderilere kötü amaçlı JavaScript kodu eklemek için yüksek önem dereceli güvenlik açıklarından biri olan depolanmış bir XSS kusurundan yararlanabilir. Kötü amaçlı gönderiye erişildiğinde kod çalıştırılır.
Diğer bir ciddi zayıflık, kimliği doğrulanmamış bir saldırganın medya kitaplığında kötü niyetli bir arama sorgusu oluşturarak rastgele kod yürütmek için kullanabileceği yansıtılmış bir XSS’dir. Saldırganın yetkilendirilmesi gerekmediği için Defiant, bunun bu sürümdeki en çok yararlanılabilen güvenlik açığı olabileceğine inanıyor. Sömürü, kullanıcı etkileşimi gerektirir ve bir yük oluşturmak zordur.
Üçüncü yüksek önem düzeyine sahip sorun, üçüncü taraf bir eklentinin veya temanın yararlanabileceği bir SQL enjeksiyonudur; WordPress çekirdeği etkilenmeden kalır.
Son ciddi sorun, kimliği doğrulanmamış bir saldırganın yetkili bir kullanıcı adına bir geri izleme göndermesine olanak tanıyan bir CSRF kusurudur, ancak etkili kullanım sosyal mühendislik gerektirir.
Arka plan güncellemelerini otomatik olarak destekleyen WordPress web siteleri bir yama alacaktır. Aşağıdaki önemli güncelleme olan Sürüm 6.1’in 1 Kasım’da yapılması planlanıyor.
Sucuri’nin 2021 Web Sitesi Tehdit Araştırması Raporuna göre, WordPress web siteleri CMS bulaşmalarının %95’inden fazlasını oluşturuyor ve siber güvenlik şirketinin bir kredi kartı korsanı keşfettiği web sitelerinin neredeyse üçte biri WordPress çalıştırıyordu.