WordPress ekosisteminde keşfedilen tüm güvenlik kusurları arasında siteler arası komut dosyası çalıştırma (XSS) güvenlik açıkları toplamın yaklaşık %53,3'ünü oluşturuyordu.
Geçen yıl itibarıyla XSS, tüm güvenlik açıklarının %27'sini oluşturuyordu; bu oran, 2022'ye göre çok daha yüksek.
Siteler arası komut dosyası çalıştırma (XSS), bir saldırganın bir web sitesine kötü amaçlı kod ekleyebileceği bir güvenlik açığıdır.
Bundan sonra kötü amaçlı kod, trafiği yeniden yönlendirmek veya gizli verileri çalmak gibi istenmeyen eylemler gerçekleştirmek için kullanılabilir ve bu da saldırganın bir web sitesi üzerinde kontrol sahibi olmasını sağlayabilir.
XSS Neden En Yaygın Güvenlik Açığı Türüdür?
PatchStack Güvenlik raporuna göre, üçüncü taraf tarafından yönetilen bir e-Ticaret platformu olan Freemius çerçevesindeki bir kusur, 2022'de önemli sayıda CSRF güvenlik açığının kaynağıydı.
Trustifi'nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Çerçevenin yaygın kullanımı, çok sayıda eklentiyi etkilediği anlamına geliyordu.
Araştırmacılar bu XSS güvenlik açıklarından 1.200'den fazlasının Freemius'a kadar izini sürebiliyor.
Raporda, “Bu yıl, Freemius çerçevesindeki tek bir siteler arası komut dosyası çalıştırma güvenlik açığının, 1.248 eklentinin güvenlik açığını devralmasına ve kullanıcılarını riske maruz bırakmasına neden olduğunu bir kez daha gördük” ifadesine yer verildi.
“2023'te keşfedilen tüm yeni güvenlik açıklarının %21'inin izi bu tek kusura dayandırılabilir.
Geliştiricilerin yığınlarını dikkatli seçmeleri ve güvenlik güncellemelerini kullanıma sunulduklarında derhal uygulamaları gerekiyor.”
Ek olarak, yeni keşfedilen güvenlik açıklarının %42,9'unun genel önem düzeyi yüksek veya kritiktir.
Yüksek ve kritik öneme sahip güvenlik açıklarının oranı 2022'ye göre çok daha yüksek. Geçen yılki %84'e kıyasla bu yıl güvenlik açıklarının %56,6'sı “yalnızca” orta önem derecesine sahip endişeler olarak kategorize edildi.
Yeni keşfedilen güvenlik açıklarının %13,6'lık yüksek riski, hızlı eylem gerektirdi. %34,7'si “Orta” öncelik seviyesine sahipti; bu, hedefli saldırılarda kullanılabilmelerine rağmen sanal bir yama alacak kadar ciddi oldukları anlamına geliyor.
“2023'te bulunan tüm yeni güvenlik açıklarına bakıldığında %58,9'unun kullanılması için herhangi bir kimlik doğrulaması gerekmedi.
Araştırmacılar, bu güvenlik açıklarının otomatik olarak ve topluca istismar edilebilmesi nedeniyle doğası gereği daha tehlikeli olduğunu belirtti.
Öte yandan yeni keşfedilen güvenlik açıklarının %13,4'ünden yalnızca yönetici rolüyle yararlanılabildi.
Terk Edilen Eklentilerin Artışı
Terk edilmiş eklentilerin sayısının çokluğu bir diğer önemli güvenlik açığı kaynağıdır.
Ancak 2023 yılında WordPress ekibine toplam 827 eklenti ve tema sunuldu.
Bundan sonra 481 duyarlı bileşen terk edildi ve eklenti deposundan çıkarıldı.
Araştırmacılar, WordPress'teki “zombi eklenti salgını” konusunda farkındalığı artırmak için tek bir günde bu eklentilerden 404'ünü bildirdi.
Bu “zombi” eklentiler, ilk başta güvenli ve güncel görünse de, yamalanmamış güvenlik kusurlarına sahip olabilecek parçalardır.
En Çok İstismar Girişimi Yapılan Yeni Keşfedilen İlk 5 Güvenlik Açığı
- tagDiv Besteci eklentisi – Kimliği doğrulanmamış Depolanan XSS güvenlik açığı
- WooCommerce Ödemeler eklentisi – Kimliği doğrulanmamış ayrıcalık yükseltme güvenlik açığı
- Ultimate Üye eklentisi– Doğrulanmamış Ayrıcalık Yükseltmesi
- Elementor eklentisi için Temel Eklentiler– Doğrulanmamış Ayrıcalık Yükseltmesi
- Elementor eklentisi için HT Mega Absolute Eklentileri– Doğrulanmamış Ayrıcalık Yükseltmesi
Yine de bu artış, WordPress platformunda kötüleşen bir güvenlik senaryosuna işaret etmiyor.
Bunun yerine güvenliğin hem eklenti üreticileri hem de güvenlik araştırmacıları için daha yüksek bir öncelik olduğunu gösteriyor.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.