WordPress.com sahibi Automat, Jetpack eklentisinde kritik bir güvenlik açığını ele almak için WordPress güvenlik ekibinin yardımıyla bugün milyonlarca web sitesine bir güvenlik yaması yüklemeye zorla başladı.
Jetpack, site yedeklemeleri, kaba kuvvet saldırısı koruması, güvenli girişler, kötü amaçlı yazılım taraması ve daha fazlası dahil olmak üzere ücretsiz güvenlik, performans ve web sitesi yönetimi iyileştirmeleri sağlayan son derece popüler bir eklentidir.
Resmi WordPress eklentisi deposuna göre, otomatik olarak korunan eklentinin 5 milyondan fazla aktif kurulumu var.
Otomatik Geliştirici İlişkileri Mühendisi Jeremy Herve, "Bir dahili güvenlik denetimi sırasında, 2012'de piyasaya sürülen sürüm 2.0'dan beri Jetpack'te bulunan API ile bir güvenlik açığı bulduk." Dedi.
"Bu güvenlik açığı, bir sitedeki yazarlar tarafından WordPress kurulumundaki dosyaları manipüle etmek için kullanılabilir."
Jetpack 12.1.1, Güvenlik Yaması şu anda eklenti kullanan tüm WordPress web sitelerine otomatik olarak kullanıma sunuldu, bugün piyasaya sürülmeye başladı ve 2.0'dan beri Jetpack'in her sürümünü kullanarak 4.130.000'den fazla siteye yüklendi.
Bu, en savunmasız web sitelerinin en son güvenli sürüme otomatik olarak güncellendiği ve geri kalanının da yakında yamalanacak olduğu anlamına gelir.
Herve ayrıca web sitesi yöneticilerinin, hatanın saldırılarda istismar edildiğine dair hiçbir işaret olmasa da, saldırganların büyük olasılıkla kusurun ayrıntılarını alacağı ve eşsiz WordPress web sitelerini hedefleyen istismarlar oluşturacağından, sitelerinin güvence altına alınmasını sağlamaları gerektiği konusunda uyardı.
Herve, "Bu güvenlik açığının vahşi doğada kullanıldığına dair hiçbir kanıtımız yok. Ancak şimdi güncelleme yayınlandığına göre, birisinin bu güvenlik açığından yararlanmaya çalışması mümkün." Dedi.
"Sitenizin güvenliğini sağlamak için lütfen Jetpack sürümünüzü mümkün olan en kısa sürede güncelleyin. Bu işlemde size yardımcı olmak için, 2,0'dan beri Jetpack'in her sürümünün yamalı versiyonlarını yayınlamak için WordPress.org Güvenlik Ekibi ile yakın çalıştık. Web siteleri otomatik olarak güvenli bir sürüme güncellenecek veya yakında güncellenecek. "
Bu, WordPress'in eklentilerdeki veya WordPress kurulumlarındaki kritik sorunları yamalamak için güvenlik güncellemelerinin otomatik olarak dağıtımını ilk kez kullanması değildir.
Örneğin, WordPress geliştiricisi Samuel Wood, Ekim 2020'de kuruluşun bu yaklaşımı WordPress 3.7'nin yayınlanmasından bu yana "eklentiler için güvenlik bültenleri" için kullandığını söyledi.
GÜNCELLEME: Automattic'in freemium bloglama hizmeti wordpress.com'un arkasındaki şirket olduğunu açıklığa kavuşturmak için gözden geçirilmiş hikaye.
WordPress eklentisi "Yerçekimi Formları" PHP nesne enjeksiyonuna karşı savunmasız
Bilgisayar korsanları, çerez onay eklentisi istismarı ile 1.5m WordPress sitelerini hedef
Bu eklenti anlaşmasıyla chatgpt'i herhangi bir WordPress web sitesine yükleyin
GitLab 'en kısa sürede maksimum yama maksimum yama kusurunu önerir
Hackerlar, POC çıktıktan sonra savunmasız WordPress Elementor eklentisini hedef hedef
Kaynak: Bleeping Computer