NextGEN Gallery WordPress eklentisinde iki yüksek önem dereceli güvenlik hatası var.
800.000’den fazla kullanıcının aktif kurulum tabanına sahip olan popüler WordPress eklentisi NextGEN Gallery’de birden fazla ciddi güvenlik açığını düzeltti.
Wordfence Tehdit İstihbaratı’ndaki güvenlik ekibi tarafından keşfedildiği üzere, resim galerisi eklentisinin önceki bir sürümünde, web sitesi ele geçirmenin kapısını açan iki siteler arası sahte istek (CSRF) kusurundan muzdaripti.
Araştırmacılar, hem yansıtılan siteler arası komut dosyası çalıştırma (XSS) hem de uzaktan kod yürütme (RCE) saldırılarını gerçekleştirmek için kötüye kullanılabileceğinden, ilk güvenlik açığını yüksek önem derecesi ve ikincisi kritik olarak sınıflandırdı.
WordPress eklenti istismarı
Güvenlik açığı bulunan eklentiden yararlanmak için, bir saldırganın, WordPress yöneticisini, web tarayıcılarında, belki de bir kimlik avı saldırısı yoluyla, kötü amaçlı bir bağlantı başlatması için aldatması gerekir.
Başarılı olursa, saldırgan kötü amaçlı yeniden yönlendirmeler, kimlik avı mekanizmaları eklemekte ve nihayetinde güvenliği ihlal edilen web sitesinde istediklerini yapmakta özgür olacaktır.
Wordfence bir blog yazısında, “Bu saldırı büyük olasılıkla bir dereceye kadar sosyal mühendislik gerektirecektir… Ayrıca, bu eylemleri gerçekleştirmek iki ayrı istek gerektirecektir, ancak bunun uygulanması önemsiz bir şey olacaktır” dedi .
NextGEN Galerisi geliştiricileri Aralık ayında iki hata için bir yama yayınladı, ancak şimdiye kadar sadece yaklaşık 300.000 kullanıcı gerekli güncellemeyi yükledi, yani 500.000’den fazla web sitesi hala korumasız halde.
Kaynak : techradar.com
İlk Yorumu Siz Yapın