WordPress 4.2 ve öncesi güvenlik açığı bulundu!

WordPress 4.2 ve öncesi sürümlerinde yorumlarda javascript aracılığı ile admin hesabını ele geçirilmesini mümkün kılan bir hata bulundu. 4.2 sürüm öncesi WordPress’i kullananlar acilen 4.2.1 sürümüne geçmelerini tavsiye ederim.

Bu güvenlik açığı bir Stored Cross-Site Scripting (Stored XSS) hatasıdır.

Bu yöntemde saldırganlar yorum olarak bir javascript kodunu gönderebilir. Yönetici bu yorumu yönetim sayfaları dışında okursa, saldırganlar yönetici hesabını ele geçirebilirler. Bunun için öncelikle bloğa bir yorum gönderebilmeleri gerekiyor, fakat birçok blogda yorumlar ilk güvenilir yorumdan sonra otomatik olarak iletilmektedir.

Saldırganlar bu yöntemden faydalanarak ilk yorumu normal bir yorum olarak yazıp, yayınlandıktan sonra javascript kodu içeren kodu yorum olarak yazabilir.

Yönetici hesabında yorum gösterimlerinde zararlı kodlar filtrelendiği için bu açığın çalışabilmesi için, yöneticinin yönetici hesabı dışında bu yorumu okuma şartı olmasından dolayı bu kodun çalışma ihtimali zayıf olsa da en kısa sürede yeni sürüme geçilmesinde fayda vardır.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir


*