Yakın zamanda gerçekleşen bir gelişmede, WPScan ekibi, yaygın olarak kullanılan WP Fastest Cache eklentisinde önemli bir güvenlik açığını ortaya çıkardı.
Kimliği doğrulanmamış bir SQL enjeksiyonu olarak kategorize edilen bu güvenlik açığı, WordPress veritabanındaki hassas verilere yetkisiz erişim sağlama potansiyeline sahiptir.
CVE-2023-6063 olarak tanımlanan güvenlik açığı, WP Fastest Cache’in 1.2.2’den düşük sürümlerini etkiliyor.
Dahili bir inceleme sırasında bu keşfin ardından WPScan ekibi, eklentinin geliştirme ekibini bilgilendirmek için hızlı bir şekilde harekete geçti.
Buna yanıt olarak geliştiriciler sorunu çözmek ve sorunu çözmek için derhal 1.2.2 sürümünü yayınladılar.
Güvenlik açığının incelenmesi
Güvenlik açığının özü, WpFastestCacheCreateCache sınıfının SQL enjeksiyonuna duyarlı is_user_admin işlevinde yatmaktadır.
Bu işlev, createCache işlevinden çağrılır ve kötü niyetli aktörler için potansiyel bir giriş noktası sunar.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
Güvenlik açığı özellikle, uygulamanın verileri wp_magic_quotes() tarafından temizlenmeden önce eklenti yükleme süresinde işlevin yürütülmesi nedeniyle daha da kötüleşiyor.
Kimliği doğrulanmamış bir saldırgan, bu güvenlik açığından yararlanmak için belirli bir tanımlama bilgisinden elde edilen $username değişkenini değiştirerek zamana dayalı bir kör SQL verisi ekleyebilir.
Bu da WordPress veritabanından hassas bilgilerin çıkarılmasına yol açabilir.
Azaltma
WP Fastest Cache kullanan yöneticilerin, kurulumlarını 1.2.2 sürümüne güncelleyerek derhal harekete geçmesi gerekir.
Bu güncelleme, belirlenen güvenlik açığından yararlanma olasılığına karşı önemli bir koruma görevi görüyor.
WPScan, daha fazla ayrıntı ve bu güvenlik endişesini gösteren kavram kanıtı için 27 Kasım 2023’te bir giriş yayınlamayı planlıyor.
Web sitesi yöneticilerine ve kullanıcılara, WordPress kurulumlarının bütünlüğünü ve güvenliğini sağlamak için dikkatli olmaları ve en son güvenlik güncellemeleri hakkında bilgi sahibi olmaları tavsiye edilir.
Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemeleri için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.