Radykal'dan Premium WordPress eklentisi Fantezi Ürün Tasarımcısı, mevcut en son sürümde serbest kalan iki kritik şiddet kusuruna karşı savunmasızdır.
20.000'den fazla satışla, eklenti, renk değiştirerek, metni dönüştürerek veya boyutu değiştirerek WooCommerce sitelerinde ürün tasarımlarının (örn. Giysiler, kupalar, telefon kılıfları) özelleştirilmesine izin verir.
Eklentiyi incelerken, PatchTack’in Rafie Muhammed 17 Mart 2024'te eklentinin aşağıdaki iki kritik kusura karşı savunmasız olduğunu keşfetti:
Patchstack, onları keşfettikten bir gün sonra sorunların satıcısına bildirmesine rağmen, Radykal asla cevap vermedi.
6 Ocak'ta PatchTack, kusurları veritabanına ekledi ve bugün kullanıcıları uyarmak ve riskler hakkında farkındalığı artırmak için bir blog yazısı yayınladı.
Muhammed, 20 yeni versiyon yayınladıktan sonra bile, en sonun 6.4.3'ü 2 ay önce piyasaya sürüldüğünü söylüyor.
Patchstack'in yazımı, saldırganlar için istismarlar oluşturmak ve Radykal'ın süslü ürün tasarımcısı eklentisini kullanan web mağazalarını hedeflemeye başlamak için yeterli teknik bilgi sağlar.
Genel bir öneri olarak, yöneticiler güvenli dosya uzantılarıyla izin verilen bir liste oluşturarak keyfi dosya yüklemelerini önlemelidir. Ek olarak, PatchTack, güvenli bir kaçış ve format yaparak kullanıcının girişini bir sorgu için dezenfekte ederek SQL enjeksiyonuna karşı korunmayı önerir.
BleepingComputer, yakında bir güvenlik güncellemesi yayınlamayı planlayıp planlamadıklarını sormak için Radikal ile iletişime geçti, ancak bir yorum hemen mevcut değildi.
Ivanti, sıfır gün saldırılarında kullanılan yeni bağlantı güvenli kusurunu uyarıyor
Apache, Mina'daki kritik kusurları uyarıyor, devasa, trafik kontrolü
Premium WPLMS WordPress eklentileri yedi kritik kusur
Korunmasız eklentileri yüklemek için kullanılmış hunk companion wordpress eklentisi
KDE 4/5'teki sıfır gün hatası bir klasör açarak komutları yürütür
Kaynak: Bleeping Computer