WordPress Eklentisi Jetpack, 27 Milyon Siteyi Etkileyen Büyük Güvenlik Açığını Yamaladı
Jetpack WordPress eklentisinin geliştiricileri, oturum açmış kullanıcıların bir sitede başkaları tarafından gönderilen formlara erişmesine izin verebilecek kritik bir güvenlik açığını düzeltmek için bir güvenlik güncellemesi yayınladı.
WordPress yapımcısı Automattic'e ait olan Jetpack, site güvenliğini, performansını ve trafik artışını iyileştirmek için kapsamlı bir araç paketi sunan hepsi bir arada bir eklentidir. Web sitesine göre 27 milyon WordPress sitesinde kullanılıyor.
Sorunun bir iç güvenlik denetimi sırasında Jetpack tarafından tespit edildiği ve 2016'da piyasaya sürülen 3.9.9 sürümünden bu yana devam ettiği söyleniyor.
Jetpack'ten Jeremy Herve, güvenlik açığının Jetpack'teki İletişim Formu özelliğinde bulunduğunu ve "bir sitede oturum açmış herhangi bir kullanıcı tarafından sitedeki ziyaretçiler tarafından gönderilen formları okumak için kullanılabileceğini" söyledi.
Jetpack, eklentiyi kurulu sitelerde otomatik olarak güvenli bir sürüme güncellemek için WordPress.org Güvenlik Ekibi ile yakın bir şekilde çalıştığını söyledi.
Eksiklik, Jetpack'in aşağıdaki 101 farklı sürümünde giderildi:
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10
Güvenlik açığının vahşi doğada hiç kullanılmadığına dair bir kanıt bulunmamakla birlikte, kamuya açıklanması ışığında ileriye dönük olarak kötüye kullanılma olasılığı vardır.
Jetpack'in Haziran 2023'te Jetpack eklentisinde Kasım 2012'den beri var olan başka bir kritik kusur için benzer düzeltmeler sunduğunu belirtmekte fayda var.
Gelişme, WordPress'in kurucusu Matt Mullenweg ile barındırma sağlayıcısı WP Engine arasında devam eden bir anlaşmazlığın ortasında geldi ve WordPress.org, Secure Custom Fields adlı kendi çatalını oluşturmak için ikincisinin Gelişmiş Özel Alanlar (ACF) eklentisinin kontrolünü ele geçirdi.
Mullenweg, "SCF, ticari satışları kaldırmak ve bir güvenlik sorununu çözmek için güncellendi" dedi. "Bu güncelleme, güvenlik sorununu çözmek için mümkün olduğunca az."
WordPress, güvenlik sorununun tam doğasını açıklamadı, ancak bunun _REQUEST dolarla ilgili olduğunu söyledi. Ayrıca, sorunun Secure Custom Fields'ın 6.3.6.2 sürümünde ele alındığını söyledi.
WordPress, "Kodları şu anda güvensiz ve insanlara güvenlik açıklarını düzeltene kadar Güvenli Özel Alanlardan kaçınmalarını söylemeleri müşterilere karşı görevlerini ihmal ediyor" dedi. "Onlara bunu özel olarak da bildirdik, ancak yanıt vermediler."
WP Engine, X'teki bir gönderide, WordPress'in hiçbir zaman "tek taraflı ve zorla" aktif olarak geliştirilen bir eklentiyi "yaratıcısından rızası olmadan" almadığını iddia etti.
Buna cevaben, WordPress "bu daha önce birkaç kez oldu" dedi ve herhangi bir eklentiyi dizinden devre dışı bırakma veya kaldırma, geliştiricinin bir eklentiye erişimini kaldırma veya kamu güvenliği adına "geliştirici izni olmadan" değiştirme hakkını saklı tuttuğunu söyledi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Pwn2Own Ireland 2024'te 1 Milyon Doların Üzerinde Ödeme Yapıldı
Araştırmacılar Wi-Fi Alliance'ın Test Paketinde Komut Enjeksiyon Kusurunu Keşfetti
AWS Cloud Development Kit Güvenlik Açığı, Kullanıcıları Potansiyel Hesap Ele Geçirme Risklerine Maruz Bırakır
Cisco, Aktif Saldırı Altında ASA ve FTD Yazılım Güvenlik Açığı için Acil Düzeltme Yayınladı
Fortinet, Aktif Sömürü Altında FortiManager'daki Kritik Güvenlik Açığı Konusunda Uyardı
CISA, Microsoft SharePoint Güvenlik Açığından Aktif Olarak Yararlanıldığına Karşı Uyardı (CVE-2024-38094)
SRBMiner Kripto Madenciliği Saldırıları için Docker API Sunucularından Yararlanan Siber Suçlular
VMware, Kritik RCE Güvenlik Açığını Düzeltmek için vCenter Server Güncellemesini Yayınladı