2017 Teknoloji Haberleri, Güncel Teknolojiler, Ürün İncelemeleri

1 milyon WordPress sitesinde açık!

1 milyon WordPress sitesinde açık!
Bu haber 01 Mart 2017 - 20:22 'de eklendi ve 187 views kez görüntülendi.
WordPress içerik yönetimi sisteminden faydalanan 1 milyon web sitesi, yeni bir keşfe tarafından “önemli” bir güvenlik açığına maruz kalmış olabilir. Güvenlik açığı, 1 milyondan fazla kişinin kullandığı NextGEN Gallery eklentisinde yer alıyor. Açık geçtiğimiz günlerde onarıldı fakat öncesinde saldırganların sisteme SQL sorgusu göndermesine izin veriyordu. Saldırganlar, belirtilen şartlar aşağı bu açıktan faydalanarak web sunucusunun backend veritabanına zinde komutlar gönderebiliyorlardı. Web güvenliği firması Sucuri’den emniyet araştırmacısı Slavco Mihajloski, blog’unda bu açığın “oldukça kritik” olduğunu söylüyor ve eklentinin emniyet açığı içeren sürümünü kullananların bir lahza önce onu güncellemesini öneriyor. Saldırganların açıktan faydalanabilmesi için PHP programlama dilinde $container_ids olarak aşina diziyi oluşturmaları gerekiyor. Güvenilmeyen ziyaretçilerin bunun için galeri URL’sinde minik şansın dönmesi yapması yetiyor. Bunun peşinde agresif, SQL isteğine ilave sprintf/printf direktifleri ekleyebiliyor ve $wpdb->prepare’i kullanarak kendine yoklama olanağı sunabiliyor. Saldırının çalışabilmesi için web sitesinin gönderileri gözden geçirme işlevini etkinleştirmiş olması gerekiyor. Bu durumda saldırgan, sitede bir hesap oluşturup, içerisinde kötü niyetli kod yer alan NextGEN Gallery kodlarını kullanabiliyor. Sucuri’nin açığın ciddiyet oranı olarak 10 üzerinden 9 verdiği sorun, eklentinin 2.1.79 sürümünde onarıldı. Eklentinin changelog’unda açıktan bahsedilmediği için tehdidin ne dek yaygın olduğu bilinmiyor. –

HABER HAKKINDA GÖRÜŞ BELİRT

Yorum yapabilmek için giriş yapmalısınız.

POPÜLER FOTO GALERİLER
SON DAKİKA HABERLERİ
İLGİLİ HABERLER