WordPress eklentisi WP En hızlı önbellek, kimlik doğrulanmamış saldırganların sitenin veritabanının içeriğini okumasına izin verebilecek bir SQL enjeksiyon güvenlik açığına karşı savunmasızdır.
WP En Hızlı Önbellek, sayfa yüklerini hızlandırmak, ziyaretçi deneyimini artırmak ve sitenin Google aramadaki sıralamasını artırmak için kullanılan bir önbellek eklentisidir. WordPress.org istatistiklerine göre, bir milyondan fazla site tarafından kullanılır.
WordPress.org'dan istatistikleri indirin 600.000'den fazla web sitesinin hala eklentinin savunmasız bir sürümünü işlettiğini ve potansiyel saldırılara maruz kaldığını gösterin.
Bugün, Automattic'ten WPSCAN ekibi, CVE-2023-6063 olarak izlenen ve 8.6 yüksek seviyeli bir skorla, eklentinin tüm sürümlerini 1.2.2'den önce etkileyen bir SQL enjeksiyon güvenlik açığının ayrıntılarını açıkladı.
SQL enjeksiyon güvenlik açıkları, yazılım SQL sorgularını doğrudan manipüle eden girdiyi kabul ettiğinde, özel bilgileri veya komut yürütmeyi alan keyfi SQL kodunu çalıştırmaya yol açtığında meydana gelir.
Bu durumda, kusur, WP en hızlı önbellek eklentisi içindeki "WPFastestCacheCreatecache" sınıfının "IS_USER_ADMIN" işlevini etkiler;
"$ Kullanıcı adı" girişi sterilize olmadığından, bir saldırgan eklenti tarafından yürütülen SQL sorgusunu değiştirmek için bu çerez değerini manipüle edebilir ve veritabanına yetkisiz erişime yol açar.
WordPress veritabanları genellikle kullanıcı verileri (IP adresleri, e -postalar, kimlikler), hesap şifreleri, eklenti ve tema yapılandırma ayarları ve sitenin işlevleri için gerekli diğer verileri içerir.
WPSCAN, 27 Kasım 2023'te CVE-2023-6063 için bir kavram kanıtı (POC) istismarını yayınlayacak, ancak güvenlik açığının karmaşık olmadığı ve bilgisayar korsanlarının nasıl sömürüleceğini anlayabildiğine dikkat edilmelidir.
Dün yayınlanan 1.2.2 sürümündeki WP en hızlı önbellek geliştiricisi tarafından bir düzeltme sağlandı. Eklentinin tüm kullanıcılarının en kısa sürede en son sürüme yükseltilmesi önerilir.
Yeni WordPress Backdoor, web sitelerini ele geçirmek için Rogue Yöneticisi oluşturur
Bilgisayar korsanları, gizli saldırılarda son F5 Big-IP kusurlarını kullanır
Bilgisayar korsanları WordPress Royal Elementor Eklentisinde Kritik Kusurdan İstismar
Bu chatgpt destekli WordPress eklentisi anlaşmasında 260 $ tasarruf edin
Geçen ay Balada enjektör saldırılarında hacklenen 17.000'den fazla WordPress sitesi
Kaynak: Bleeping Computer