Şu anda 930.000'den fazla web sitesi tarafından kullanılan Premium WordPress eklentisi 'Gravity Forms', kimlik doğrulanmamış PHP nesne enjeksiyonuna karşı savunmasızdır.
Gravity Forms, ödeme, kayıt, dosya yükleme veya ziyaretçi sitesi etkileşimleri veya işlemler için gerekli diğer formlar oluşturmak için kullandıkları özel bir form oluşturucu web sitesidir.
Web sitesinde Gravity Forms, Airbnb, ESPN, Nike, NASA, Pennstate ve UNICEF dahil olmak üzere çok çeşitli büyük şirketler tarafından kullanıldığını iddia ediyor.
CVE-2023-28782 olarak izlenen güvenlik açığı, 2.73 ve altındaki tüm eklenti sürümlerini etkiler.
Kusur, 27 Mart 2023'te PatchTack tarafından keşfedildi ve 11 Nisan 2023'te sunulan 2.7.4 sürümünün yayınlanmasıyla satıcı tarafından sabitlendi.
Yerçekimi formlarını kullanan web sitesi yöneticilerine, mevcut güvenlik güncellemesini mümkün olan en kısa sürede uygulamaları tavsiye edilir.
Sorun, 'belki_unserialize' işlevi için kullanıcı tarafından sağlanan giriş kontrollerinin eksikliğinden kaynaklanmaktadır ve yerçekimi formlarıyla oluşturulan bir forma veri göndererek tetiklenebilir.
Raporda, "PHP nesne serileştirmesine izin verdiğinden, nesne serileştirmeye izin verdiğinden, kimlik doğrulanmamış bir kullanıcı, uygulama kapsamına keyfi bir PHP nesnesi (ler) enjeksiyonuna neden olan savunmasız bir Serialize çağrısına geçici serileştirilmiş dizeleri iletebilir."
"Bu güvenlik açığının, yerçekimi formları eklentisinin varsayılan kurulumunda veya yapılandırmasında tetiklenebileceğini ve yalnızca bir liste alanı içeren oluşturulmuş bir forma ihtiyacı olduğunu unutmayın."
CVE-2023-28782'nin potansiyel şiddetine rağmen, PatchTack'in analistleri savunmasız eklentide önemli bir POP (mülk odaklı programlama) zinciri bulamadı ve riski biraz hafifletti.
Bununla birlikte, aynı site, mevcut WordPress eklentileri ve temaları ve geliştiriciler arasında değişen kod kalitesi ve güvenlik farkındalığı seviyeleri göz önüne alındığında nadir olmayan bir pop zinciri içeren diğer eklentiler veya temalar kullanıyorsa risk şiddetli kalır.
Bu durumlarda, CVE-2023-28782'nin sömürülmesi, keyfi dosya erişimine ve modifikasyonuna, kullanıcı/üye verilerinin eksfiltrasyonuna, kod yürütmesine ve daha fazlasına yol açabilir.
Eklenti satıcısı, 2.74 sürümündeki Gravity Forms eklentisinden 'belki_unserialize' işlevinin kullanımını kaldırarak kusuru düzeltti.
Güvenlik düzeltmeleri pop zincirleri gibi saldırı vektörlerini ortadan kaldırabileceğinden, WordPress sitenizde etkin olan tüm eklentiler ve temalarda herhangi bir güncellemeyi uygulamak da önemlidir.
Bilgisayar korsanları POC istismarını piyasaya sürdükten sonra WordPress eklentisi kusurunu hedef
WordPress Elementor Eklentisi Bug Saldırganların 1M sitelerde hesaplarını ele geçirmesine izin ver
WordPress Custom Field eklentisi, XSS saldırılarına 1m'den fazla siteyi ortaya çıkarır
Saldırganlar Backdoor web sitelerine terk edilmiş WordPress eklentisini kullanıyor
Hackerlar Elementor Pro WordPress eklentisinde BUGU BUGU
Kaynak: Bleeping Computer