60.000'den fazla web sitesinde kurulu olan Seraphinite Accelerator WordPress eklentisini etkileyen iki güvenlik açığı için bir güvenlik önerisi yayınlandı. Bu güvenlik açıklarından, minimum abone düzeyinde erişime sahip oturum açmış herhangi bir kullanıcı yararlanabilir.
Seraphinite Accelerator WordPress eklentisi kusuru, kimliği doğrulanmış saldırganların bir web sitesinden dahili operasyonel verileri almasına ve ayrıca yetkisiz değişiklikler yapmasına olanak tanır. Sorun eklentinin 2.28.14'e kadar olan tüm sürümlerini etkiliyor. Geliştiriciler güvenlik açığını 2.28.15 sürümünde düzelttiler.
Eklenti Ne İşe Yarar?
Seraphinite Accelerator, WordPress sitelerini hızlandırmak için kullanılan bir performans eklentisidir. Ana işlev, sayfaların önbelleğe alınmış sürümlerini oluşturmaktır, böylece birisi siteyi her ziyaret ettiğinde sunucunun bunları oluşturmasına gerek kalmaz. Eklenti aynı zamanda GZip, Deflate ve Brotli gibi çoklu sıkıştırma formatlarını da destekler, sunucu yükünü azaltmak için tarayıcının önbelleğe alınmasını sağlar ve önbelleğe alınan verileri farklı cihazlar ve ortamlar için ayırır.
Güvenlik Açığından Kimler Yararlanabilir?
Güvenlik açığından yararlanmak için kimlik doğrulaması gerekiyor, ancak bu yalnızca düşük abone düzeyinde, genellikle bir siteye kaydolan kullanıcılara atanıyor. Bu, saldırganların yönetici erişimine ihtiyaç duymadığı anlamına gelir. Güvenlik açığı bulunan işlevi tetiklemek için temel bir kullanıcı hesabı yeterlidir.
Güvenlik Arızası Nedir?
Güvenlik açığı, eklentinin bir kullanıcının belirli bir API işlevine erişim iznine sahip olup olmadığını doğrulamaması nedeniyle ortaya çıkıyor. Eklenti, adlı bir AJAX uç noktasını ortaya çıkarır seraph_accel_api. Bu uç nokta aracılığıyla çağrılabilecek işlevlerden biri Veri Altarafından dahili olarak gerçekleştirilir. OnAdminApi_GetData() işlev.
Danışmana göre:
“WordPress için Seraphinite Accelerator eklentisi, 2.28.14 dahil olmak üzere 2.28.14'e kadar olan tüm sürümlerde, 'fn=GetData' ile 'seraph_accel_api' AJAX eylemi yoluyla Hassas Bilgilerin Açığa Çıkmasına karşı savunmasızdır. Bunun nedeni, 'OnAdminApi_GetData()' işlevinin herhangi bir yetenek kontrolü gerçekleştirmemesidir.
Bu, Abone düzeyi ve üzeri erişime sahip kimliği doğrulanmış saldırganların önbellek durumu, zamanlanmış görev bilgileri ve harici veritabanı durumu dahil olmak üzere hassas operasyonel verileri almasını mümkün kılıyor.”
Benzer bir güvenlik açığına yönelik ikinci bir danışma belgesinde Wordfence, saldırganların bir web sitesinde yapabileceği değişiklikler konusunda uyarıyor:
“WordPress için Seraphinite Accelerator eklentisi, 2.28.14'e kadar olan tüm sürümlerde 'seraph_accel_api' AJAX işleminde 'fn=LogClear' ile eksik yetenek kontrolü nedeniyle verilerde yetkisiz değişiklik yapılmasına karşı savunmasızdır. Bu, Abone düzeyi ve üzeri erişime sahip kimliği doğrulanmış saldırganların eklentinin hata ayıklama/işlemsel günlüklerini temizlemesini mümkün kılar.”
WordPress'te yetenek kontrolleri, kullanıcının bir yönetim eylemi gerçekleştirme iznine sahip olduğunu doğrulamak için kullanılır. Eklentiler genellikle dahili sistem verilerini açığa çıkaran işlevler için Manage_options özelliğini gerektirir.
Bu kontrol eksik olduğundan eklenti, oturum açmış herhangi bir kullanıcının API işlevini çağırmasına ve yalnızca yöneticilerin erişebileceği bilgileri almasına izin verdi.
Eklentinin etkilenen kısmı:
- bir “Yönetici API” denetleyicisi/dağıtıcısı (çünkü yöntemler OnAdminApi_* olarak adlandırılmıştır)
- belirli uç nokta/işlev: GetData
- ve muhtemelen başka bir uç nokta/işlev: LogClear (değişiklik günlüğünden)
Etkilenen “komut dosyası alanı” şu kısımlardır:
- isteği alır
- fn okur
- OnAdminApi_GetData()'yı (ve benzer şekilde OnAdminApi_LogClear() veya eşdeğerini) çağırır
O halde temel sorun, yalnızca yöneticiye ait OnAdminApi_GetData() işlevinin yetenek kontrolleri gerçekleştirmemesi nedeniyle yetkilendirmenin bozulmasıdır.
Saldırganlar Nelere Erişebilir?
Güvenlik açığı bulunan işlev, eklenti ve site ortamı hakkında operasyonel bilgiler döndürüyor.
Saldırganlar şunları alabilir:
- Önbellek durumu bilgileri
- Zamanlanmış görev bilgileri
- Harici veritabanı durumu
Bu bilgi, eklentinin sunucuda nasıl çalıştığını ve belirli işlemlerin nasıl planlandığını ortaya çıkarır. Bu, saldırganlara doğrudan web sitesinin kontrolünü vermese de normalde yöneticilerle sınırlı olan dahili sistem ayrıntılarını açığa çıkarır.
Güvenlik Açığı Nasıl Düzeltildi
Geliştiriciler, etkilenen API işlevlerine erişimi kısıtlayarak kusuru 2.28.15 sürümünde yamaladılar.
Eklenti değişiklik günlüğü, LogClear ve GetData API işlevlerinin, Manage_options ayrıcalığına sahip olmayan kullanıcılar tarafından çağrılabileceğini açıklıyor. Düzeltme, yalnızca yetkili yöneticilerin bu işlevlere erişebilmesi için gerekli yetenek denetimini geri yükler.
Site Sahipleri Ne Yapmalı?
Seraphinite Accelerator eklentisini kullanan site sahipleri, 2.28.15 veya daha yeni bir sürüme güncelleme yapmalıdır. Güncelleme, açığa çıkan API erişimini kaldırır ve abone düzeyindeki kullanıcıların operasyonel verileri almasını engeller.
Shutterstock/Max Kısaltmasından Öne Çıkan Görsel
Bir yanıt yazın