WordPress, aynı zamanda bazı sitelerin çökmesine (beyaz ekran görüntüleme) neden olan on güvenlik açığını düzeltmek için sorunlu bir güvenlik sürümü sürüm 6.9.2 yayınladı; bu nedenle WordPress, hızlı bir şekilde 6.9.3 numaralı hata düzeltme sürümünü yayınladı. Bugün WordPress, tüm güvenlik açıklarının yeterince ele alınmaması nedeniyle başka bir güncelleme olan 6.9.4 sürümünü duyurdu.
WordPress güvenlik firması Wordfence, orta önemde olarak derecelendirilen dört güvenlik açığının ayrıntılarını yayınlarken, WordPress.org, biri harici bir PHP kütüphanesinden kaynaklananlar da dahil olmak üzere on tanesinin tam listesini yayınladı.
WordPress, neden ek bir güncelleme yayınlamaları gerektiğine ilişkin aşağıdaki danışma belgesini yayınladı:
“WordPress 6.9.2 ve WordPress 6.9.3, 10 güvenlik sorununu ve sınırlı sayıda sitede şablon dosya yüklemesini etkileyen bir hatayı gidererek dün piyasaya sürüldü.
WordPress Güvenlik Ekibi, tüm güvenlik düzeltmelerinin tam olarak uygulanmadığını tespit etti ve bu nedenle gerekli ek düzeltmeleri içeren 6.9.4 yayımlandı.
Bu bir güvenlik sürümü olduğundan sitelerinizi hemen güncellemeniz önerilir.”
WordPress Sitelerinin Çökmesinin Zaman Çizelgesi
Bazı WordPress kullanıcıları, güvenlik güncellemesinin sitelerinin çökmesine neden olduğunu bildirdi. Reddit'teki bazı kişiler, WordPress güvenlik düzeltme ekinde bir sorun olduğunu ve bunun titreşim kodlamasıyla ilgili olduğu sonucunu çıkardığını öne sürdü. Güvenlik yamasının yayınlanmasından kısa bir süre sonra resmi WordPress forumlarında site işlevselliğiyle ilgili sorunları açıklayan bir tartışma da başladı.
İlk gönderide sorunları anlatıldı:
“Birkaç dakika önce Dreamhost'tan web sitemin otomatik olarak WP 6.9.2'ye güncellendiğine dair bir güncelleme aldım. Artık yüklemeye çalıştığım tüm sayfalar boş çıkıyor. Arka uçta hâlâ oturum açabiliyorum, sayfalar hâlâ düzenleme için orada, içerik mevcut, ancak Haberin Sonu veya başka bir sayfaya gittiğimde hiçbir şey görüntülenmiyor (kaynağı görüntüle de boş.)
Crio temalı WordPress 6.9.2, güncel.”
Benzer sorunları açıklayan başkaları da onu takip etti ve birkaç gönderi sonra çekirdek geliştiricilerden biri, sorunun doğrudan belirli temalardaki bir şeyle ilgili olduğunu söyleyerek yanıt verdi ve başka bir temaya geçerek bunun doğrulanmasını önerdi. İlk gönderiden yedi saat sonra, konuyu başlatan kişi, WordPress'in 6.9.2 sürümünün getirdiği sorunları gidermek için, güvenlik sürümünün kendisinden değil, belirli temaların kodlanmasından kaynaklanan sorunları gidermek için WordPress'in 6.9.3 sürümünde bir hata düzeltmesi yayınladığını not etmek için tekrar gönderi paylaştı.
WordPress'ten Resmi Yanıt
Sitelerin çökmesiyle ilgili sorun, belirli temaların şablon dosyalarını yüklemesinin standart olmayan bir yöntemiyle ilgili gibi görünüyor. Bu temalar, şablonları yüklemek için desteklenmeyen bir yöntem kullanıyordu ve bu da yamayla çakışmaya yol açıyordu. Sorun WordPress'te değil tema tarafında olmasına rağmen, WordPress mühendisleri bu sorunları çözmek için hızlı bir şekilde ek bir yama yayınladılar.
WordPress'in 6.9.3 sürümündeki hata düzeltmesine ilişkin notlarına göre:
“Bu sürüm, 6.9.2 güvenlik sürümünde bozulan şablon dosya yollarını yüklerken olağandışı bir “dizgelenebilir nesne” mekanizması kullanan bazı temalar için bir hata düzeltmesi içeriyor.
Her ne kadar bu, WordPress'te şablon dosyalarını yüklemek için resmi olarak desteklenen bir yaklaşım olmasa da (template_include filtresi yalnızca bir dize kabul eder), yine de bazı sitelerin bozulmasına neden oldu, bu nedenle ekip, bunu hızlı bir şekilde takip eden 6.9.3 sürümünde ele almaya karar verdi. Etkilenen temaları kullanan kullanıcıların, sitelerinin ön ucunu çalışır duruma getirmek için 6.9.3 sürümüne güncelleme yapmaları gerekiyor.”
Wordfence Danışmanlığı
Wordfence, CVSS şiddet dereceleri 1'den 10'a kadar 4,3 ila 6,4 arasında olan dört güvenlik açığının ayrıntılarını yayınladı; 10 en yüksek şiddet düzeyiydi. Bunların hepsinden yararlanmak için kimlik doğrulaması gerekir; bu, bir saldırganın bir saldırı başlatabilmesi için öncelikle abone seviyesinden Yöneticiye kadar değişen kullanıcı izinlerini alması gerektiği anlamına gelir.
Wordfence tarafından açıklanan dört güvenlik açığının listesi:
- CVSS Şiddet Derecesi 4.3
WordPress 6.9 – 6.9.1 – REST API Aracılığıyla Kimliği Doğrulanmış (Abone+) Keyfi Not Oluşturma Yetkisi Eksik - CVSS Şiddet Derecesi 4.3
WordPress <= 6.9.1 – Sorgu ekleri aracılığıyla Kimliği Doğrulanmış (Yazar+) Hassas Bilgilerin Açıklanması için Eksik Yetki AJAX Uç Noktası - CVSS Şiddet Derecesi 4.4
WordPress <= 6.9.1 – Gezinme Menüsü Öğeleri aracılığıyla Kimliği Doğrulanmış (Yönetici+) Depolanan Siteler Arası Komut Dosyası Çalıştırma - CVSS Şiddet Derecesi 6,5
WordPress <= 6.9.1 – getID3 Kütüphane Medya Yüklemesi aracılığıyla Kimliği Doğrulanmış (Yazar+) XML Harici Varlık Enjeksiyonu
En ciddi güvenlik açığına yönelik 6,5/10 olarak derecelendirilen Wordfence tavsiye belgesi, kusuru şöyle tanımladı:
“WordPress çekirdeği, 6.9.1'e kadar olan tüm sürümlerde, paketlenmiş getID3 kitaplığı aracılığıyla XML Harici Varlık (XXE) Enjeksiyonuna karşı savunmasızdır. Bunun nedeni, ayrıştırma sırasında XML varlık değişimini sağlayan 'LIBXML_NOENT' bayrağını içeren 'GETID3_LIBXML_OPTIONS' sabitidir.
WordPress, XML meta verilerini (özellikle WAV/RIFF/AVI dosyalarındaki iXML parçalarını) içeren medya dosyalarını işlediğinde, getID3 kitaplığı XML'i varlık değiştirme etkinleştirilmiş olarak ayrıştırır ve yerel dosyanın “file://” protokol URI'leri aracılığıyla ifşa edilmesine izin verir. Bu, Yazar düzeyinde erişime sahip kimliği doğrulanmış saldırganların sunucudaki rastgele dosyaları okumasını mümkün kılabilir.”
Bunlar on güvenlik açığının tam listesi:
- Kör SSRF sorunu
- HTML API ve Blok Kayıt Defterinde PoP zinciri zayıflığı
- Sayısal karakter referanslarında normal ifade DoS zayıflığı
- Gezinme menülerinde kayıtlı bir XSS
- AJAX sorgu ekleri yetkilendirmesini atlama
- data-wp-bind yönergesi aracılığıyla depolanan bir XSS
- Yönetici alanında istemci tarafı şablonlarının geçersiz kılınmasına izin veren bir XSS
- PclZip yolu geçiş sorunu
- Notes özelliğinde yetkilendirme atlaması
- Harici getID3 kitaplığında bir XXE
WordPress Anında Güncellemeyi Öneriyor
Diğer altı güvenlik açığının ne kadar ciddi olduğu bilinmiyor, ancak Wordfence'in tanımladığı güvenlik açıkları yalnızca orta düzeyde önem derecesine sahip ve bir saldırganın ilk olarak bir kullanıcı rolü edinmesini gerektiriyordu. Yine de WordPress, site yayıncılarının sitelerini derhal 6.9.4 sürümüne güncellemelerini önerir.
Shutterstock/Who is Danny'den Öne Çıkan Görsel
Bir yanıt yazın