200 bin WordPress sitesinde bulunan eklenti açığı, içerik silinmesine sebep olabiliyor. Tespit edilen bu WordPress eklentisi hatası, siber korsanların yöneticilerin hesaplarına erişmesine olanak veriyor.
Ticari tema kullanan WordPress kullanıcılarına bir uyarıda bulunan ThemeGrill, temalarla gelen bir eklentinin siber korsanların web sitelerini silmelerine olanak tanıyan bir açığının olduğunu ve eklentinin güncellenmesi gerektiğini önerdi. Eklenti, WordPress tema satışı yapan bir platform olan ThemeGrill tarafından satılan premium temalarla birlikte gelen standart bir eklenti ve ThemeGrill Demo Importer’a yer alıyor.
200 bin sitede yüklü
200 binden fazla WordPress altyapılı sitede yüklü olduğu ifade edilen eklenti, site sahiplerinin demo içerikleri ThemeGrill temalarında içe aktarmaya yardımcı oluyor. Eklenti ayrıca sitelerin kurulum aşamasında tasarım ve içerik olarak bir başlangıç noktası teşkil ediyor.
Dün yayınlanan bir raporda, WordPress güvenliği üzerine çalışan bir firma olan WebARX, Demo Importer eklentisinin, hackerların uzaktan saldırılarına karşı savunmasız bir eklenti olduğunu duyurdu. Bilgisayar korsanlarının, sitelere uzaktan bir veri göndererek eklentinin içindeki özel bir işlevi tetikleyebileceği, bunun da sitelerin içeriğini yok edebileceği vurgulandı. Eklentideki açığın, sitelerin içeriğini silme riski taşıdığı vurgulanırken, site sahipleri uyarıldı.
Sitenin yönetici bilgisine erişim
Raporda ayrıca, site veritabanında “admin” isimli bir kullanıcı bulunuyorsa, hackerların site üzerinde tam yönetici erişimi alma olasılığının da olduğu ifade edildi. WebARX, güvenlik açığının 1.3.4 ve 1.6.1 sürümleri arasındaki ThemeGrill Demo Importer eklentisi içeren siteleri etkileyebileceğini açıkladı. Eklentinin geliştiricisi olan ThemeGrill, hatanın paylaşılmasının ardından birtakım değişiklikler yaparak 1.6.2 sürümünü yayınladı.
Yaşanan olay, WordPress eklentisi üzerindeki açıklar üzerinden hackerların sitelerin veritabanını silmesine olanak tanıyan ikinci büyük hata oldu. Geçtiğimiz ay, Wordfence ekibi 80 binden fazla sitede yüklü olan WP Veritabanı Sıfırlama eklentisinde de benzer bir hatayı ortaya çıkarmıştı.
Bu yıl içinde açıklanan diğer önemli WordPress açıkları nelerdi?
700 binden fazla sitede kullanılan GPDR çerez onayı eklentisinde depolanan siteler arası güvenlik açığı
200 binden fazla sitede kullanılan Code Snippets eklentisindeki CSFR’den RCE’ye güvenlik açığı
300 binden fazla sitede kullanılan InfiniteWP eklentisindeki kimlik doğrulama bypass hatası.
