Araştırmacılar, dünya çapında 30.000'den fazla web sitesi tarafından kullanılan WordPress için 'PHP Her Yerde' eklentisinde üç kritik uzaktan kod yürütme (RCE) güvenlik açıkını buldu.
Her yerde PHP, WordPress yöneticilerinin, sayfalar, direklerde, kenar çubuğunda veya herhangi bir Gutenberg bloğunda PHP kodunu eklemesini sağlayan ve değerlendirilen PHP ifadelerine dayalı dinamik içeriği görüntülemek için kullanabilen bir eklentidir.
Üç güvenlik açıklığı, WordFence'deki güvenlik analistleri tarafından keşfedildi ve tüm WordPress sürümlerini 2.0.3 ve aşağıdan etkileyen katkıda bulunan veya aboneler tarafından sömürülebilir.
İşte kusurların kısa bir açıklaması:
Son iki kusur, katkıda bulunan düzeyde izinler gerektirdikleri için kolayca sömürmezken, ilk güvenlik açığı, yalnızca sitedeki bir abonesiyle sömürülebileceği kadar geniş bir sömürüye çok daha açıktır.
Örneğin, bir sitedeki oturum açmış bir müşteri, "abone" olarak kabul edilir, bu yüzden sadece hedef platforma kaydolun, kötü amaçlı PHP kodu yürütmesi için yeterli ayrıcalık kazandırmak için yeterli olacaktır.
Her durumda, bir site üzerinde keyfi kod yürütmek, web sitesi güvenliğinde mümkün olan en kötü senaryo olan tam bir site devralmasına yol açabilir.
Wordfence'in ekibi 4 Ocak 2022'de güvenlik açıklarını keşfetti ve bulgularının her yerinde PHP'nin yazarını bilgilendirdi.
Satıcı, 10 Ocak 2022'de bir güvenlik güncelleştirmesi, büyük bir sürüm numarası çarpması gerektiren, önemli bir kod yeniden yazma gerektiren 3.0.0 sürümünde bir güvenlik güncelleştirmesi yayınladı.
Geliştiriciler geçen ay güncellemeyi çözerken, Yöneticilerin WordPress sitelerini ve eklentilerini düzenli olarak güncellememesi nadir değildir. WordPress.org'daki indirme istatistiklerine göre, hatalar düzeltildiği için 30.000'den sadece 15.000 kurulum eklentiyi güncelledi.
Bu nedenle, bu güvenlik açıklarının ciddiyeti nedeniyle, her yerdeki tüm PHP kullanıcıları, şu anda mevcut olan en son olan her yerde 3.0.0 sürüm 3.0.0 olan PHP'ye yükselttiklerinden emin olmaları önerilir.
Sitenizdeki Klasik Düzenleyiciyi kullanıyorsanız, eklentiyi kaldırmanız ve bileşenlerinde özel PHP kodunu barındırmak için başka bir çözüm bulmanız gerekir.
Bunun nedeni, 3.0.0 sürüm 3.0.0, yalnızca PHP Snippet'leri blok editörü aracılığıyla desteklemesidir ve yazarın Güneş Ayarlı Klasik için işlevselliğini geri yükleme konusunda çalışması muhtemel değildir.
CISA, ORG'leri aktif olarak sömürülür, Windows Ciddersam Hatası
Kritik eklenti RCE güvenlik açığından etkilenen 600K WordPress siteleri
CWP hataları, Linux sunucularında kök olarak kod yürütülmesine izin verir, şimdi yama
Koyu Ruhlar Sunucular Kritik Hatayı Kullanarak Hackleri Önlemek İçin Alındı
WordPress eklentisi kusurları 20.000 site kullanıcıları phishing riskine koyar
Kaynak: Bleeping Computer