Siber Muhbir

CVE-2024-25600 (CVSS puanı: 9.8) olarak izlenen kusur, kimliği doğrulanmamış saldırganların uzaktan kod yürütmesini sağlar. Bricks'in 1.9.6'ya kadar olan tüm sürümlerini etkiler.

WordPress güvenlik sağlayıcısı Snicco'nun 10 Şubat'ta kusuru bildirmesinden sadece birkaç gün sonra, 13 Şubat 2024'te yayınlanan 1.9.6.1 sürümünde tema geliştiricileri tarafından ele alındı.

Bir kavram kanıtı (PoC) istismarı yayınlanmamış olsa da, hem Snicco hem de Patchstack tarafından teknik ayrıntılar yayınlandı ve altta yatan savunmasız kodun prepare_query_vars_from_settings() işlevinde bulunduğunu belirtti.

Özellikle, izinleri doğrulamak için "nonces" adı verilen ve daha sonra yürütme için rastgele komutlar iletmek için kullanılabilen ve bir tehdit aktörünün hedeflenen bir sitenin kontrolünü ele geçirmesine etkin bir şekilde izin veren güvenlik belirteçlerinin kullanımıyla ilgilidir.

Patchstack, nonce değerinin bir WordPress sitesinin ön ucunda herkese açık olduğunu ve yeterli rol kontrolünün uygulanmadığını da sözlerine ekledi.

WordPress, belgelerinde "Kimlik doğrulama, yetkilendirme veya erişim kontrolü için nonce'lara asla güvenilmemelidir" diye uyarıyor. "İşlevlerinizi current_user_can() kullanarak koruyun ve her zaman nonce'ların tehlikeye atılabileceğini varsayın."

WordPress güvenlik şirketi Wordfence, 19 Şubat 2024 itibarıyla kusurdan yararlanan üç düzineden fazla saldırı girişimi tespit ettiğini söyledi. İstismar girişimlerinin 14 Şubat'ta, kamuya açıklanmasından bir gün sonra başladığı söyleniyor.

Saldırıların çoğu aşağıdaki IP adreslerinden geliyor:

• 200.251.23[.] 57
• 92.118.170[.] 216
• 103.187.5[.] 128
• 149.202.55[.] 79
• 5.252.118[.] 211
• 91.108.240[.] 52

Bricks'in şu anda yaklaşık 25.000 aktif kuruluma sahip olduğu tahmin ediliyor. Eklenti kullanıcılarının olası tehditleri azaltmak için en son yamaları uygulamaları önerilir.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.