WordPress AI Engine eklentisinde, saldırganların ayrıcalıkları WordPress örneğinizin güvenliğini tehlikeye atacak kadar yükseltmesine olanak verebilecek bir güvenlik açığı bulunmaktadır. 100.000'den fazla web sitesinde kullanılan eklenti için güncelleme mevcut.
Duyurudan sonra devamını okuyun
AI Engine eklentisi açıklamasına göre chatbotları programlamak, AI içerik ve formları oluşturmak ve AI modelleriyle görevleri otomatikleştirmek için kullanılıyor. Wordfence'deki siber güvenlik araştırmacıları, saldırganların önceden kimlik doğrulaması yapmadan “Bearer Token” olarak adlandırılan kodu okumasına ve AI bağlantısı için kullanılan MCP'ye (Model Bağlam Protokolü) tam erişim elde etmesine olanak tanıyan bir güvenlik açığı konusunda uyarıyor. Bu, REST API uç noktası “/mcp/v1/”e erişilerek gerçekleştirilebilir.
Potansiyel saldırılar
Daha sonra kötü niyetli aktörlerin örneğin yönetici olma haklarını artırmasına olanak tanıyan “wp_update_user” gibi yürütülmesi için komutlar verebilirler. Daha sonra WordPress örneği keşfedilebilir. Ancak Wordfence küçük bir sınırlamadan bahsediyor: boşluk yalnızca MCP ayarlarında “Kimlik Doğrulamasız URL” seçeneği etkinleştirildiğinde ortaya çıkar, bu varsayılan olarak geçerli değildir (CVE-2025-11749, CVSS) 9.8“Risk”eleştirmen“).
Wordfence analizinde BT araştırmacıları ilgilenenler için daha fazla ayrıntıya giriyor. Yöneticilerin şunu bilmesi önemlidir: 3.1.3'e kadar olan AI motoru sürümleri etkilenir, 3.1.4 ve sonraki sürümler güvenlik açığını kapatır.
Popüler WordPress Post SMTP eklentisindeki bir güvenlik açığına yönelik saldırılar bu hafta Salı günü ortaya çıktı. 400.000'den fazla WordPress örneğinde kullanılmaktadır. Kötü niyetli aktörler, sonuçta varlıkların kontrolünü ele geçirmek için güvenlik açığını kötüye kullanabilirler. Yine güvenlik açığını kapatan güncellenmiş bir eklenti sürümü mevcut.
(Bilmiyorum)
Bir yanıt yazın