Hacker News'e göre, miniOrage'ın geliştirdiği Malware Scanner ve Web Application Firewall adlı iki WordPress eklentisi, Stiofan tarafından keşfedilen ve CVSS güvenlik açığı puanlama sisteminde 10 üzerinden 9,8 şiddet puanına sahip olan CVE-2024-2172 numaralı kritik bir güvenlik açığıyla karşı karşıya.
Bu güvenlik açığı geniş çaplı bir etkiye sahipti çünkü geliştirici 7 Mart 2024'te WordPress uygulama mağazasından kaldırmış olsa bile, Kötü Amaçlı Yazılım Tarayıcısı'nın Web Uygulama Güvenlik Duvarı'nın 300'e kıyasla 10.000'e kadar web sitesinde kurulu ve aktif olduğu kaydedildiğinden, hala sorunlara yol açabiliyordu.
Wordfence, bu güvenlik açığının eklentinin kodundaki kontrol eksikliğinden kaynaklandığını ve bir saldırganın herhangi bir kullanıcının şifresini keyfi olarak güncellemesine ve kimlik doğrulaması olmadan yönetici ayrıcalıklarına yükseltmesine olanak tanıdığını, bunun da potansiyel olarak web sitesinin tamamen tehlikeye girmesine yol açabileceğini belirtti.
En popüler içerik yönetim sistemi (CMS) platformu olan WordPress, bilgisayar korsanları için başlıca hedef konumundadır.
Yönetici ayrıcalıklarıyla, bilgisayar korsanları kolayca ek eklentiler, arka kapılar içeren kötü amaçlı zip dosyaları indirebilir ve kullanıcıları diğer kötü amaçlı web sitelerine yönlendirmek için web sitesi gönderilerini değiştirebilirler.
Daha önce, CVE-2024-1991 güvenlik açığı kodu ve 8.8 CVSS puanına sahip, yüksek önem dereceli bir ayrıcalık yükseltme güvenlik açığı olan RegistrationMagic adlı benzer bir eklenti rapor edilmişti. Bu eklenti de 10.000'den fazla kez indirilmiş ve kurulmuştu.
WordPress, dünya çapında yaygın olarak kullanılan popüler bir açık kaynaklı içerik yönetim sistemidir (CMS). Kurulumunun, içerik yüklemesinin ve yönetiminin kolaylığı, onu çevrimiçi mağazalar, portallar ve tartışma forumları gibi çeşitli web sitesi türleri için ideal bir platform haline getiriyor. w3techs'e göre, dünya genelindeki web sitelerinin %43,1'i şu anda bu CMS platformunu kullanıyor.
[reklam_2]
Kaynak bağlantısı
Yorum (0)