miniOrange'ın Kötü Amaçlı Yazılım Tarayıcısı ve Web Uygulaması Güvenlik Duvarı eklentilerinin WordPress kullanıcılarından, kritik bir güvenlik kusurunun keşfedilmesinin ardından bunları web sitelerinden silmeleri isteniyor.
Kusur şu şekilde izlendi: CVE-2024-2172CVSS puanlama sisteminde maksimum 10 üzerinden 9,8 puan aldı. İki eklentinin aşağıdaki sürümlerini etkiler:
Eklentilerin 7 Mart 2024 itibarıyla bakımcılar tarafından kalıcı olarak kapatıldığını belirtmekte fayda var. Malware Scanner'ın 10.000'den fazla aktif kurulumu varken, Web Uygulaması Güvenlik Duvarı'nın 300'den fazla aktif kurulumu var.
Geçen hafta Wordfence'in bildirdiğine göre, “Bu güvenlik açığı, kimliği doğrulanmamış bir saldırganın kullanıcı parolasını güncelleyerek kendilerine yönetici ayrıcalıkları vermesini mümkün kılıyor.”
Sorun, mo_wpns_init() işlevindeki, kimliği doğrulanmamış bir saldırganın herhangi bir kullanıcının parolasını keyfi olarak güncellemesine ve ayrıcalıklarını bir yöneticinin ayrıcalıklarına yükseltmesine olanak tanıyan, potansiyel olarak sitenin tamamen ele geçirilmesine yol açan eksik bir yetenek kontrolünün sonucudur.
Wordfence, “Saldırgan bir WordPress sitesine yönetici erişimi elde ettikten sonra hedeflenen sitedeki her şeyi normal bir yöneticinin yaptığı gibi manipüle edebilir” dedi.
“Buna, arka kapılar içeren kötü amaçlı zip dosyaları olabilecek eklenti ve tema dosyalarını yükleme ve site kullanıcılarını diğer kötü amaçlı sitelere yönlendirmek veya spam içeriği enjekte etmek için kullanılabilecek gönderileri ve sayfaları değiştirme yeteneği de dahildir.”
Bu gelişme, WordPress güvenlik şirketinin, RegisterMagic eklentisinde (CVE-2024-1991, CVSS puanı: 8.8) 5.3.0.0 dahil ve önceki sürümler de dahil olmak üzere tüm sürümleri etkileyen benzer bir yüksek önem derecesine sahip ayrıcalık yükseltme kusuru konusunda uyarmasıyla ortaya çıktı.
11 Mart 2024'te 5.3.1.0 sürümünün yayımlanmasıyla giderilen sorun, kimliği doğrulanmış bir saldırganın kullanıcı rolünü güncelleyerek kendisine yönetici ayrıcalıkları vermesine olanak tanıyor. Eklentinin 10.000'den fazla aktif kurulumu var.
István Márton, “Bu güvenlik açığı, abone düzeyinde veya daha yüksek izinlere sahip kimliği doğrulanmış tehdit aktörlerinin ayrıcalıklarını site yöneticisinin ayrıcalıklarına yükseltmesine olanak tanıyor ve bu da sonuçta sitenin tamamen tehlikeye atılmasına yol açabilir.” dedi.