%20(1).webp "Yoast SEO Eklentisi XSS Kusuru 5 Milyondan Fazla WordPress Web Sitesini Saldırıya Maruz Bırakıyor")
Popüler Yoast SEO WordPress eklentisinde, potansiyel olarak 5 milyondan fazla web sitesini tehlikeye atma riskiyle karşı karşıya bırakan kritik bir siteler arası komut dosyası (XSS) güvenlik açığı keşfedildi.
Kusur, güvenlik araştırmacısı Bassem Essam tarafından bulundu ve Wordfence Hata Ödül Programı aracılığıyla rapor edildi.
Yansıyan XSS güvenlik açığı, yetersiz giriş temizliği ve çıkış kaçışı nedeniyle 22.5’e kadar olan tüm Yoast SEO sürümlerinde mevcuttur.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Kimliği doğrulanmamış saldırganların, eklentinin URL parametreleri aracılığıyla WordPress sayfalarına kötü amaçlı komut dosyaları eklemesine olanak tanır. Bir yönetici hazırlanmış URL’yi ziyaret ettiğinde, enjekte edilen komut dosyaları tarayıcı oturumunda yürütülür.
Öneride, başarılı bir şekilde istismarın, saldırganların hileli yönetici hesapları oluşturmasına, tema ve eklenti dosyalarına arka kapılar yerleştirmesine, ziyaretçileri kötü amaçlı sitelere yönlendirmesine ve savunmasız WordPress sitesi üzerinde tam kontrol sahibi olmasına olanak verebileceği belirtiliyor.
Saldırı, yöneticinin kötü amaçlı bir bağlantıya tıklaması için kandırılmasını gerektirir. Yoast, güvenlik açığını gidermek için yamalı bir sürüm olan 22.6’yı yayınladı.
Yoast SEO kullanan tüm web sitelerinin derhal güncellenmesi tavsiye edilir. WordPress.org’a göre eklenti 5 milyondan fazla WordPress kurulumunda aktif.
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free.
Web güvenlik şirketi Wordfence, kullanıcılarını bu kusuru hedef alan istismar girişimlerine karşı korumak için güvenlik duvarı kuralları ekledi.
Güvenlik açığını bildirdiği için Bassem Essam’a 563 dolarlık hata ödülü verdiler.
Defiant’ın QA Mühendisi Ram Gall, “Bu güvenlik açığı, başarılı olmak için kullanıcıların bir bağlantıya tıklamasını gerektiriyor ve site yöneticileri ile kullanıcılara en iyi güvenlik uygulamalarını takip etmeleri ve güvenilmeyen kaynaklardan gelen bağlantılara tıklamaktan kaçınmaları gerektiğini hatırlatıyor” dedi. Kelime çiti.
Yoast SEO, arama motoru optimizasyonu için en popüler WordPress eklentisidir ve bunu özellikle etkili bir güvenlik açığı haline getirir.
Eklentiyi kullanan web sitesi sahiplerinin mümkün olan en kısa sürede 22.6 veya sonraki sürüme güncelleme yapması gerekmektedir.
Yöneticilerin ayrıca herhangi bir şüpheli etkinlik belirtisi olup olmadığını görmek için sitelerini incelemeleri önerilir.
Olay, WordPress eklentilerini güncel tutmanın öneminin ve hata ödül programlarının güvenlik açıklarını sorumlu bir şekilde ifşa etmede oynadığı kilit rolün altını çiziyor.
Kusur hakkında daha fazla ayrıntı ve bunun keşfedilmesi ve yama uygulanmasına ilişkin zaman çizelgesini Wordfence blogunda bulabilirsiniz.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide