WordPress tüm dünyada milyonlarca sitenin altyapısını oluşturan bir içerik yönetim sistemi. Geliştiricileri geçtiğimiz hafta bir güncelleme yayınladılar ancak kasıtlı olarak çok önemli bir güvenlik açığının kapatıldığını notlarda belirtmediler.
Güncelleme öncesi yetkisiz kullanıcılar diledikleri gönderinin ve sayfaların içeriğini değiştirebiliyormuş.
26 Ocak tarihinde yayınlanan WordPress sürüm 4.7.2, güvenlik güncelleştirmesi olarak yayımlandı, ancak sürüm notlarında platformun çekirdek kodunu etkilemeyen üç küçük risk açığı düzeltildiği belirtilmişti.
Bu hafta Çarşamba günü, WordPress güvenlik ekibi, 4.7.2 sürümünde dördüncü bir güvenlik açığının da giderildiğini duyurdular.
Bu güvenlik açığı, web güvenliği şirketi Sucuri’den araştırmacılar tarafından keşfedilmişti ve 20 Ocak’ta WordPress ekibine özel olarak bildirilmişti. Bu açık sayesinde platformun REST API’si (uygulama programlama arabirimi) ile kimliği doğrulanmamış saldırganlar herhangi bir gönderi veya sayfanın içeriğini değiştirebiliyordu.
WordPress’in çekirdek geliştiricisi Aaron Campbell, Çarşamba günü yayınladığı bir blog yazısında “Şeffaflığın halkın yararına olduğu görüşündeyiz” dedi ve şöyle devam etti “Güvenlik meselelerinin açıklanması temel politikamızdır. Ancak son durumda, milyonlarca WordPress sitesinin güvenliğini sağlamak için kasıtlı olarak bu sorunun duyurulmasını bir hafta boyunca erteledik.”
Bu güvenlik açığı sadece WordPress 4.7 ve 4.7.1’i etkiliyor. Eski sürümler etkilemiyor.
Bu iyi bir haber olmasına rağmen, saldırganların bu güvenlik açığından yararlanmaya başlamayacağı anlamına gelmez, çünkü güncellemede gerçekleşen değişiklikler biliniyor. Saldırganlar açığı bularak güncellenmemiş sitelerde kullanmaya başlayabilirler.
