BİR MİLYON WEB SİTESİ RİKS ALTINDA
Shiftdelete’de yer alan bilgilere göre, WordPress sisteminin bir eklentisinde güvenlik açığı tespit edildi. Wordfence Threat Intelligence ekibine göre, Starter Templates – Elemantor, Gutenberg & Beaver Builder Templates eklentisindeki bir açık, kullanıcıların siteye kötü niyetli JavaScript kodu eklemesine olanak tanıdı.
Güvenlik açığı 4 Ekim itibariyle tespit edildi. 7 Ekim‘de de yama geldi. Bu noktada tüm kullanıcılara artık eklentiyi en az 2.7.5 sürümüne güncellemeleri tavsiye edildi. Araştırmacılar elemantor-batch-process işlevinin bir nonce kontrolü gerçekleştirdiğini açıkladı. Ancak gerekli ajax-nonce WordPress panosunun sayfa kaynağında katkıda bulunanlar kısmı için de geçerli olduğundan bu zayıf bir ağ geçidi oldu.
Wordfence, kullanıcıları kötü niyetli bir web sitesine yönlendirmek, yeni yöneticiler oluşturmak ya da siteye bir arka kapı eklemek gibi etkilerinin olabileceğini söylüyor.
Bu da sitenin tamamen ele geçirilmesine sebebiyet verebilir. İkinci durum üst düzey bir tehdit olduğundan şirket, etkilenen tüm kullanıcıların mevcut durumu yaymasını ve güvenli kaçığı konusunda farkındalık yaratmasını önerdi.
