Otomatik olarak diğer web sitelerinden kazınan içeriği gönderen bir WordPress eklentisinin, kimsenin etkilenen web sitelerine kötü amaçlı dosyalar yüklemesine izin veren kritik bir güvenlik açığı içerdiği keşfedilmiştir. Güvenlik açığının şiddeti 1-10 ölçeğinde 9.8 olarak derecelendirilir.
WordPress için Crawllomatic Multisite Scraper Post Jeneratör Eklentisi
Crawllomatic WordPress eklentisi, Envato Codecanyon mağazası aracılığıyla lisans başına 59 $ karşılığında satılmaktadır. Kullanıcıların forumları, hava durumu istatistiklerini, RSS feed'lerinden makaleleri taramasını ve içeriği doğrudan diğer web sitelerinden kazımasını ve ardından içeriği otomatik olarak kullanıcının web sitesinde yayınlamasını sağlar.
Eklentinin Envato Codecanyon web sayfası, eklentinin yazarının “WordPress kalite standartları” ile karşılaştığı için tanınan ve “Envato WP gereksinimleri uyumlu” olduğunu gösteren bir rozet gösteren bir afişe sahiptir, Envato'nun “güvenlik, kalite, performans ve kodlama standartlarını kelime eklentilerinde ve temalarda” karşıladığını gösteren bir rozet gösterir.
Eklentinin dizin sayfası, JavaScript tabanlı siteler de dahil olmak üzere hemen hemen her web sitesini tarayabileceğini ve kazıyabileceğini açıklar ve bir kullanıcının web sitesini “para kazanma makinesine” dönüştürebileceğine söz verir.
Yasalaşmamış keyfi dosya yükleme
Crawllomatic WordPress eklentisi, 2.6.8.1 sürümünden önce ve dahil olmak üzere tüm sürümlerde bir FileType Doğrulama kontrolü eksiktir.
WordFence'da yayınlanan bir uyarıya göre:
“WordPress için Crawllomatic Multipajlı Sıyrıcı Post Jeneratör eklentisi, Crawllomatic_Genate_Featured_Image () işlevinde eksik dosya türü doğrulaması nedeniyle, 2.6.8.1'e kadar ve dahil olmak üzere, etkilenen sitenin sunucusundaki yetkilendirilmemiş saldırganları kullanma işlemini mümkün kılmak için mümkün olmasını mümkün kılmaktadır.”
Eklentinin kullanıcıları WordFence tarafından en az 2.6.8.2 sürümüne güncellenmesi önerilir.
WordFence adresinden daha fazlasını okuyun:
Crawllomatic Multip -Scraper Post Jeneratörü <= 2.6.8.1 - Kimlik doğrulanmamış keyfi dosya yüklemesi
Shutterstock/Nakaridore tarafından Öne Çıkan Resim
Bir yanıt yazın