WooCommerce bir XSS güvenlik açığı hakkında bir tavsiye yayınlarken, Wordfence aynı anda Dokan Pro adlı bir WooCommerce eklentisindeki kritik bir güvenlik açığı hakkında da tavsiyelerde bulundu. Dokan Pro hakkındaki danışma belgesi, bir SQL Enjeksiyon güvenlik açığının, kimliği doğrulanmamış saldırganların bir web sitesi veritabanından hassas bilgiler almasına izin verdiği konusunda uyardı.
Dokan Pro WordPress Eklentisi
Dokan Pro eklentisi, kullanıcının WooCommerce web sitesini Amazon ve Etsy gibi sitelere benzer çok satıcılı bir pazaryerine dönüştürmesine olanak tanır. Şu anda 50.000'den fazla kuruluma sahiptir. 3.10.3'e kadar (3.10.3 dahil) Eklenti sürümleri savunmasızdır.
WordFence'e göre sürüm 3.11.0, tamamen yamalı ve en güvenli sürümü temsil ediyor.
WordPress.org, lite sürümünün mevcut eklenti kurulum sayısını 50.000'in üzerinde ve tüm zamanların toplam kurulum sayısını 3 milyonun üzerinde olarak listeliyor. Şu an itibariyle kurulumların yalnızca %30,6'sı en güncel sürümü, 3.11'i kullanıyordu; bu da tüm Dokan Pro eklentilerinin %69,4'ünün savunmasız olduğu anlamına gelebilir.
Dokan Eklentisi İndirme İstatistiklerinin Ekran Görüntüsü
Değişiklik Günlüğü Güvenlik Açığı Yamasını Göstermiyor
Değişiklik günlüğü, bir eklentinin kullanıcılarına bir güncellemede nelerin bulunduğunu bildiren şeydir. Çoğu eklenti ve tema oluşturucu, bir güncellemenin güvenlik açığı yaması içerdiğine dair net bir bildirim yayınlar. Wordfence'e göre güvenlik açığı, 3.10.3'e kadar olan sürümleri etkiliyor. Ancak 25 Nisan 2024'te yayımlanan (yamanması gereken) 3.10.4 sürümüne ilişkin değişiklik günlüğü gösterimi, bir yamanın olduğunu göstermiyor. Dokan Pro ve Dokan Lite'ın yayıncısının bilgisayar korsanlarını kritik güvenlik açığı konusunda uyarmak istememiş olması mümkün.
Dokan Pro Değişiklik Günlüğü'nün ekran görüntüsü
CVSS Puanı 10
Ortak Güvenlik Açığı Puanlama Sistemi (CVSS), bir güvenlik açığının ciddiyetini temsil eden bir puan atamak için açık bir standarttır. Ciddiyet puanı, ne kadar istismar edilebilir olduğuna, etkisine ve ayrıca güvenlik ve aciliyet gibi ek ölçümlerin toplamına göre en az ciddiden (1) en yüksek ciddiyete (10) kadar toplam puana dayanmaktadır.
Dokan Pro eklentisi, en yüksek ciddiyet düzeyi olan 10 CVSS puanı aldı; bu, eklentiyi kullanan tüm kullanıcıların derhal harekete geçmesi tavsiye edildiği anlamına geliyor.
Dokan Pro Güvenlik Açığı Önem Puanının Ekran Görüntüsü
Güvenlik Açığı Açıklaması
Dokan Pro'nun Kimliği Doğrulanmamış SQL Enjeksiyon güvenlik açığı içerdiği tespit edildi. Kimliği doğrulanmış ve kimliği doğrulanmamış güvenlik açıkları vardır. Kimliği doğrulanmamış, bir saldırganın saldırı başlatmak için kullanıcı kimlik bilgilerini almasına gerek olmadığı anlamına gelir. İki tür güvenlik açığı arasında kimlik doğrulamasının yapılmaması en kötü senaryodur.
WordPress SQL Enjeksiyon güvenlik açığı, bir eklentinin veya temanın bir saldırganın veritabanını değiştirmesine izin verdiği bir güvenlik açığıdır. Veritabanı, her şifrenin, oturum açma adlarının, gönderilerin, temaların ve eklenti verilerinin bulunduğu her WordPress web sitesinin kalbidir. Herhangi birinin veritabanını manipüle etmesine izin veren bir güvenlik açığı oldukça ciddidir; bu gerçekten kötüdür.
Wordfence bunu şu şekilde açıklıyor:
“WordPress için Dokan Pro eklentisi, kullanıcı tarafından sağlanan parametreden kaçışın yetersiz olması ve mevcut SQL sorgusunda yeterli hazırlık yapılmaması nedeniyle 3.10.3'e kadar (3.10.3 dahil) tüm sürümlerde 'code' parametresi yoluyla SQL Injection'a karşı savunmasızdır. Bu, kimliği doğrulanmamış saldırganların, veritabanından hassas bilgileri çıkarmak için kullanılabilecek mevcut sorgulara ek SQL sorguları eklemesine olanak tanıyor.”
Dokan Pro Kullanıcıları İçin Önerilen Eylem
Dokan Pro eklentisi kullanıcılarının sitelerini mümkün olan en kısa sürede güncellemeyi düşünmeleri önerilir. Güncellemeleri bir web sitesine canlı olarak yüklenmeden önce test etmek her zaman akıllıca olacaktır. Ancak bu güvenlik açığının ciddiyeti nedeniyle kullanıcıların bu güncellemeyi hızlandırmayı düşünmesi gerekiyor.
WooCommerce, 8.8.0 ve sonraki sürümleri etkileyen bir güvenlik açığına ilişkin bir öneri yayınladı. Güvenlik açığı 5,4 olarak derecelendirilmiş olup orta düzeyde bir tehdittir ve yalnızca Sipariş Özniteliği özelliği etkinleştirilmiş olan kullanıcıları etkilemektedir. Yine de WooCommerce, kullanıcıların en güncel sürüm olan (bu yazının yazıldığı an itibariyle) WooCommerce 8.9.3'e mümkün olan en kısa sürede güncelleme yapmasını “şiddetle” önerir.
WooCommerce Siteler Arası Komut Dosyası Çalıştırma (XSS) Güvenlik Açığı
WooCommerce'i etkileyen güvenlik açığı türüne Siteler Arası Komut Dosyası Çalıştırma (XSS) adı verilir ve bu, kullanıcının (WooCommerce mağaza yöneticisi gibi) bir bağlantıyı tıklamasına bağlı olan bir güvenlik açığı türüdür.
WooCommerce'e göre:
“Bu güvenlik açığı, kötü niyetli bir kişinin bir sayfaya kötü amaçlı içerik (JavaScript gibi kod aracılığıyla) eklemek için bir bağlantıyı değiştirdiği bir saldırı türü olan siteler arası komut dosyası çalıştırmaya izin verebilir. Bu durum, müşteri, satıcı veya mağaza yöneticisi de dahil olmak üzere bağlantıyı tıklayan herkesi etkileyebilir.
…Bu güvenlik açığından yararlanıldığını bilmiyoruz. Sorun ilk olarak Automattic'in HackerOne ile yaptığı proaktif güvenlik araştırma programı aracılığıyla keşfedildi. Destek ekiplerimiz bu yazılımın istismar edildiğine dair herhangi bir rapor almadı ve mühendislik ekibimizin analizleri bu yazılımın istismar edildiğini ortaya çıkarmadı.”
Web Sunucuları Daha Proaktif Olmalı mı?
Web geliştiricisi ve arama motoru pazarlamacılığı uzmanı Adam J. Humphreys, Of Making 8, inc. (LinkedIn profili), kullanılan başka bir eklenti veya temayla bir çakışma olması durumunda bazı sitelerin işlevselliğini kaybetmesine neden olsa da, web barındırıcılarının kritik güvenlik açıklarını düzeltme konusunda daha proaktif olması gerektiğini düşünüyor.
Adem şunu gözlemledi:
“Daha derin olan sorun, WordPress'in otomatik güncellemeler olmadan kalması ve sitelerinin güvenli olduğu yanılsaması olan sürekli bir güvenlik açığı olmasıdır. Çoğu çekirdek güncelleme, ana bilgisayarlar tarafından gerçekleştirilmez ve hemen hemen her ana bilgisayar, bir çekirdek güncelleme gerçekleştirilene kadar yapsalar bile herhangi bir eklenti güncellemesi gerçekleştirmez. Ayrıca çoğu premium eklenti güncellemesinin çoğu zaman otomatik olarak gerçekleştirilmeyeceği de bir gerçektir. Birçoğu kritik güvenlik yamaları içeriyor.”
Bir güncellemenin bir web sitesine zorlandığı bir push güncellemesini mi kastettiğini sordum.
“Doğru, birçok ana bilgisayar WordPress çekirdek güncellemesi, Softaculous (WordPress otomatik yükleyici) mühendisleri bunu benim için onaylayana kadar güncelleme yapmayacak. Tamamen yönetilen güncellemeler olduğunu iddia eden WPEngine, söz konusu eklentiler için zamanında yama yapma sıklığı konusunda bunu yapmıyor. Sürekli yönetimi olmayan WordPress bir güvenlik açığıdır ve yine de tüm web sitelerinin yarısı bu güvenlik açığıyla oluşturulmuştur. Bu, bence WordPress'in ele alınması gereken bir gözetimidir.
Daha fazlasını Wordfence'te okuyun:
Dokan Pro <= 3.10.3 – Kimliği Doğrulanmamış SQL Enjeksiyonu
Resmi WooCommerce güvenlik açığı belgelerini okuyun:
WooCommerce Siteler Arası Komut Dosyası Çalıştırma Güvenlik Açığı'nı Giderecek Şekilde Güncellendi
Shutterstock/New Africa'dan Öne Çıkan Görsel

Bir yanıt yazın