Yüz binden fazla WordPress sitesinin, tehdit aktörlerinin kötü niyetli kodları uzaktan çalıştırmasına ve tamamen doğrulama gerektirmeksizin rastgele dosyaları silmesine olanak tanıyan bir açıktan dolayı savunmasız olduğu bildiriliyor.
villu164 takma adını kullanan bir siber güvenlik araştırmacısı, kar amacı gütmeyen kuruluşlar, hayır kurumları ve diğer organizasyonların bağış toplamasını kolaylaştırmak için tasarlanmış olan GiveWP isimli WordPress eklentisinde, 10/10 şiddetinde bir güvenlik açığı keşfetti. Bu eklenti, bağışların doğrudan web siteleri üzerinden toplanmasına olanak tanıyor.
Araştırmacı, ödeme bilgileri dahil form verilerini doğrulayıp temizleyen bir fonksiyondan kaynaklanan bir PHP Nesne Enjeksiyonu açığı buldu. Bu veri, belirtilen ödeme geçidine gönderilmeden önce işleniyor.
Bir yama mevcut Bu güvenlik açığı, CVE-2024-5932 olarak izleniyor ve 7 Ağustos 2024’te yayınlanan ve sorunu gideren 3.14.2 sürümü dahil olmak üzere eklentinin tüm versiyonlarında bulunuyor. WordPress güvenlik araştırmacıları Wordfence, bu açığın doğrulama gerektirmeyen saldırganların bir PHP Nesnesi enjekte edebilmesine olanak sağladığını ve mevcut POP zincirinin de uzaktan kod çalıştırmaya ve rastgele dosyaları silmeye imkan tanıdığını belirtti.
Wordfence raporunda, “WordPress kullanıcılarını, bu kritik güvenlik açığı nedeniyle sitelerinin GiveWP’nin en son yamanmış versiyonuna güncellenip güncellenmediğini bir an önce kontrol etmeye teşvik ediyoruz,” ifadesine yer verdi. Haberin yayımlandığı tarihte, eklentinin en son sürümü olan 3.15, bir hafta önce piyasaya sürülmüştü. Eklenti, 100.000’den fazla aktif kurulum sayısına sahip olup 24 dilde kullanılabiliyor.
Açığı bulan araştırmacı villu164, bu keşfi için 5.000 dolarlık bir ödül kazandı.
WordPress, dünya çapında mevcut tüm web sitelerinin yaklaşık yarısını güçlendiren, dünyanın bir numaralı web sitesi oluşturma platformudur. Genellikle güvenli kabul edilse de, platformun kendisi kadar güvenli olmayan binlerce eklenti ve tema sunan bir mağaza sunmaktadır.