Güvenlik açığı 4 milyon WordPress web sitesini riske atıyor

Wordfence tehdit istihbarat ekibi, blogunda yaptığı açıklamada, 4 milyondan fazla WordPress sitesinde yüklü olan popüler bir eklenti olan LiteSpeed ​​​​Cache eklentisindeki bir çapraz site betik çalıştırma (XSS) güvenlik açığını sorumlu bir şekilde ifşa ettiğini duyurdu. Bu güvenlik açığı, katkıda bulunan ayrıcalıklarına sahip bilgisayar korsanlarının kısa kodlar kullanarak kötü amaçlı betikler yerleştirmesine olanak tanıyor.

LiteSpeed ​​​​Cache, WordPress web sitelerini önbellekleme ve sunucu düzeyinde optimizasyonla hızlandıran bir eklentidir. Bu eklenti, WordPress'e eklendiğinde Edge Side teknolojisini kullanarak blokları önbelleğe almak için kullanılabilen bir kısayol kodu sağlar.

Ancak Wordfence, eklentinin kısa kod uygulamasının güvenli olmadığını ve bu sayfalara keyfi betiklerin eklenmesine olanak sağladığını belirtti. Güvenlik açığı bulunan kodun incelenmesi, kısa kod yönteminin girdi ve çıktıları yeterince kontrol etmediğini ortaya koydu. Bu durum, tehdit aktörünün XSS saldırıları gerçekleştirmesine olanak sağladı. Betik, bir sayfaya veya gönderiye eklendiğinde, kullanıcı her ziyaret ettiğinde çalıştırılıyordu.

Wordfence, güvenlik açığının ele geçirilmiş bir katkıda bulunan hesabı veya bir kullanıcının katkıda bulunan olarak kaydolmasını gerektirdiğini belirtirken, bir saldırganın hassas bilgileri çalabileceğini, web sitesi içeriğini manipüle edebileceğini, yöneticilere saldırabileceğini, dosyaları düzenleyebileceğini veya ziyaretçileri kötü amaçlı web sitelerine yönlendirebileceğini belirtti.

Wordfence, LiteSpeed ​​​​Cache geliştirme ekibiyle 14 Ağustos'ta iletişime geçtiğini bildirdi. Yama 16 Ağustos'ta dağıtıldı ve 10 Ekim'de WordPress'te yayınlandı. Kullanıcıların artık bu güvenlik açığını tamamen gidermek için LiteSpeed ​​​​Cache'i 5.7 sürümüne güncellemeleri gerekiyor. Tehlikeli olmasına rağmen, Wordfence güvenlik duvarının yerleşik Siteler Arası Komut Dosyası koruma özelliği bu açığın önlenmesine yardımcı oldu.