WordPress kullanan web sitelerinin bu 2 eklentiyi silmeleri gerekiyor

The Hacker New'e göre, miniOrage tarafından geliştirilen Malware Scanner ve Web Application Firewall adlı iki WordPress eklentisi, Stiofan tarafından keşfedilen ve CVSS güvenlik açığı puanlama sisteminin 10 puanlık ölçeğinde 9,8 önem derecesine sahip CVE-2024-2172 adlı ciddi bir güvenlik açığına karşı savunmasız.

Hatanın geniş bir etkisi var çünkü geliştiricisi 7 Mart 2024'te WordPress uygulama mağazasından kaldırmış olsa da, Malware Scanner'ın 10.000'e kadar web sitesinde yüklü ve etkin olarak kaydedildiği, Web Uygulama Güvenlik Duvarı ile ise bu sayının 300 olduğu göz önüne alındığında, hala etkili olabilir.

Wordfence, söz konusu güvenlik açığının eklentinin kodunda eksik bir denetimden kaynaklandığını ve kimliği doğrulanmamış bir saldırganın herhangi bir kullanıcının parolasını keyfi olarak güncellemesine ve ayrıcalıkları yöneticiye yükseltmesine olanak tanıdığını, bunun da potansiyel olarak web sitesinin tamamen tehlikeye girmesine yol açabileceğini belirtti.

Yönetici haklarına sahip olan bilgisayar korsanları, ek eklentileri, arka kapılar içeren kötü amaçlı zip dosyalarını kolayca indirebilir ve kullanıcıları diğer kötü amaçlı web sitelerine yönlendirmek için web sitesi gönderilerini değiştirebilir.

Daha önce, benzer bir eklenti olan RegistrationMagic, CVE-2024-1991 hata kodu ve 8.8 CVSS puanıyla bildirilmişti. Bu da yüksek öneme sahip bir ayrıcalık yükseltme güvenlik açığıdır. Bu eklenti de 10.000'den fazla kez indirilip yüklenmiştir.

WordPress, dünya çapında yaygın olarak kullanılan ünlü bir açık kaynaklı içerik yönetim sistemidir (CMS). Bu CMS platformunda içerik kurulumunun, yayınlanmasının ve yönetilmesinin kolaylığı, WordPress'i çevrimiçi mağazalar, portallar, tartışma forumları gibi her türlü web sitesi için ideal bir platform haline getirir. w3techs'e göre, bu CMS platformu şu anda dünyadaki web sitelerinin %43,1'i tarafından tercih ediliyor.