Jüpiter X Core WordPress eklentisinde, 90.000’den fazla web sitesine aktif olarak yüklenen kritik bir güvenlik açığı (CVE-2025-0366) 6 Ocak 2025’te açıklandı.
Kusur, zincirlenmiş yerel dosya dahil etme (LFI) ve kötü amaçlı SVG yüklemeleri yoluyla uzaktan kodu yürütmeleri için katkıda bulunan seviyeli ayrıcalıklara sahip kimlik doğrulamalı saldırganları sağlar.
Araştırmacı Stealthcopter tarafından WordFence Bug Bounty programı aracılığıyla keşfedilen güvenlik açığı 782 dolarlık bir ödül kazandı ve eklenti bağımlı ekosistemlerde kalıcı risklerin altını çizdi.
Güvenlik Açığı Genel Bakış
CVE-2025-0366: Teknik Arıza
Güvenlik açığı zinciri, eklentinin dosya işleme mantığında iki kritik kusur içerir:
1. Sınırsız SVG yüklemeleri
Eklentinin AJAX_HANDLER sınıfı, katkıda bulunanların içeriği doğrulamadan SVG dosyalarını yüklemelerine izin verdi.
Dosya adları PHP’nin Uniqid () işlevi kullanılarak randomize edilirken, araştırmacılar bu yöntemin sunucu mikrotimine dayandığını belirtti – bir saldırgan yükleme zaman damgasını biliyorsa öngörülebilir bir değer.
2. Get_svg () aracılığıyla yerel dosya dahil etme
SVG dosyaları eklenirken eklentinin UTILS sınıfındaki get_svg () yöntemi uygunsuz bir şekilde sterilize edilmiş kullanıcı girişi:
public static function get_svg($file_name="") {
return Plugin::$plugin_path . 'assets/img/' . $file_name . '.svg';
}$ File_Name parametresini manipüle ederek, saldırganlar dizinleri geçebilir ve kötü amaçlı yükler içeren PHP dosyaları da dahil olmak üzere keyfi dosyaları içerebilir.
Başarılı sömürü, bir saldırganın kötü amaçlı bir SVG yüklemesini gerektirir (örn. ), randomize dosya adını tahmin edin ve eklentinin video widget’ı aracılığıyla dahil edilmesini tetikleyin.
Katkıda bulunan seviyesi erişim anında riski sınırlarken, kimlik doğrulamalı saldırganlar ayrıcalıkları artırabilir, verileri dışarı atabilir veya kötü amaçlı yazılım dağıtabilir.
8.8 (yüksek) CVSS puanı, gizlilik, dürüstlük ve kullanılabilirlik üzerindeki ciddi etkiyi yansıtır.
WordFence, 13 Ocak 2025’te premium kullanıcılara güvenlik duvarı kuralları yayınladı ve ücretsiz kullanıcılar 12 Şubat’ta koruma aldı.
Geliştirici ArtBees, 29 Ocak’ta 4.8.8 sürümünde sorunu yamaladı ve SHA-256 dosya adı karma ve katı dosya izin listeleme uyguladı. Kullanıcılara hemen güncelleme ve katılımcı izinlerini denetlemeleri istenir.
Bu olay, güvenlik açıklarının% 60’ının üçüncü taraf uzantılardan kaynaklandığı WordPress eklentisi güvenliğindeki sistemik zorlukları vurgulamaktadır.
Genellikle statik görüntüler olarak ele alınan SVG dosyaları, komut dosyaları veya PHP yükleri yerleştirebilen XML tabanlı yapıları nedeniyle benzersiz riskler oluşturur.
WordFence’in Böcek Programı, 2022’den bu yana 1.200’den fazla güvenlik açıklarını çözmek, bu tür tehditlerin azaltılmasında etik açıklamanın değerini göstermektedir.
Güvenlik uzmanları, SVG’lerde anormal içeriği tespit etmek ve dosya yüklemeleri için sıfır tröst politikalarının uygulanmasını sağlamak için makine öğrenimi tabanlı dosya doğrulamasının benimsenmesini tavsiye eder.
Yol geçiş kusurları ve en az ayrıcalıklı erişim modelleri için düzenli kod denetimleri, benzer riskleri azaltmak için kritik öneme sahiptir.
Gerçek zamanlı uyarılar için, yöneticiler WordFence Intelligence gibi tehdit istihbarat yayınlarına abone olmaya teşvik edilir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here