Siber Muhbir

WordPress yapımcısı Automattic'e ait olan Jetpack, site güvenliğini, performansını ve trafik artışını iyileştirmek için kapsamlı bir araç paketi sunan hepsi bir arada bir eklentidir. Web sitesine göre 27 milyon WordPress sitesinde kullanılıyor.

Sorunun bir iç güvenlik denetimi sırasında Jetpack tarafından tespit edildiği ve 2016'da piyasaya sürülen 3.9.9 sürümünden bu yana devam ettiği söyleniyor.

Jetpack'ten Jeremy Herve, güvenlik açığının Jetpack'teki İletişim Formu özelliğinde bulunduğunu ve "bir sitede oturum açmış herhangi bir kullanıcı tarafından sitedeki ziyaretçiler tarafından gönderilen formları okumak için kullanılabileceğini" söyledi.

Jetpack, eklentiyi kurulu sitelerde otomatik olarak güvenli bir sürüme güncellemek için WordPress.org Güvenlik Ekibi ile yakın bir şekilde çalıştığını söyledi.

Eksiklik, Jetpack'in aşağıdaki 101 farklı sürümünde giderildi:

13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10

Güvenlik açığının vahşi doğada hiç kullanılmadığına dair bir kanıt bulunmamakla birlikte, kamuya açıklanması ışığında ileriye dönük olarak kötüye kullanılma olasılığı vardır.

Jetpack'in Haziran 2023'te Jetpack eklentisinde Kasım 2012'den beri var olan başka bir kritik kusur için benzer düzeltmeler sunduğunu belirtmekte fayda var.

Gelişme, WordPress'in kurucusu Matt Mullenweg ile barındırma sağlayıcısı WP Engine arasında devam eden bir anlaşmazlığın ortasında geldi ve WordPress.org, Secure Custom Fields adlı kendi çatalını oluşturmak için ikincisinin Gelişmiş Özel Alanlar (ACF) eklentisinin kontrolünü ele geçirdi.

Mullenweg, "SCF, ticari satışları kaldırmak ve bir güvenlik sorununu çözmek için güncellendi" dedi. "Bu güncelleme, güvenlik sorununu çözmek için mümkün olduğunca az."

WordPress, güvenlik sorununun tam doğasını açıklamadı, ancak bunun _REQUEST dolarla ilgili olduğunu söyledi. Ayrıca, sorunun Secure Custom Fields'ın 6.3.6.2 sürümünde ele alındığını söyledi.

WordPress, "Kodları şu anda güvensiz ve insanlara güvenlik açıklarını düzeltene kadar Güvenli Özel Alanlardan kaçınmalarını söylemeleri müşterilere karşı görevlerini ihmal ediyor" dedi. "Onlara bunu özel olarak da bildirdik, ancak yanıt vermediler."

WP Engine, X'teki bir gönderide, WordPress'in hiçbir zaman "tek taraflı ve zorla" aktif olarak geliştirilen bir eklentiyi "yaratıcısından rızası olmadan" almadığını iddia etti.

Buna cevaben, WordPress "bu daha önce birkaç kez oldu" dedi ve herhangi bir eklentiyi dizinden devre dışı bırakma veya kaldırma, geliştiricinin bir eklentiye erişimini kaldırma veya kamu güvenliği adına "geliştirici izni olmadan" değiştirme hakkını saklı tuttuğunu söyledi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.