WordPress SureForms eklentisi 200.000'den fazla aktif kuruluma ulaşır. BT güvenlik araştırmacıları, WordPress savunmasız örneklerin tamamen uzlaşmasına izin veren bir güvenlik açığı keşfetti. Güncellemeler boşluğu doldurmaya hazır.
Bir blog yazısında, WordFence araştırmacıları zayıf noktayı analiz eder. Eklentiye tam olarak “SureForms-Drag ve Drop Form Oluşturucu” denir. İşlevde delete_entry_files() Dosya yollarının yeterli testi yoktur. Sonuç olarak, ağ saldırganları önleyici bir kayıt olmadan sunucudaki herhangi bir dosyayı silebilir. Son olarak, kötü aktörler “wp-config.php” dosyasını silip daha sonra WordPress isteğini yapılandırma moduna koyup kontrol ettiğiniz bir veritabanına bağlarsa, herhangi bir mesafe kodunun yürütülmesine yol açabilir ( 8.1Risk “yüksek“).
Güncellemeleri uygulayın
Surforms 1.7.3. Geliştiriciler güncellemelerle birden fazla sürüm şubesi sağladılar. Güvenli sürümler 1.7.4, 1.6.5, 1.5.1, 1.4.5, 1.3.2, 1.2.5, 1.1.2, 1.0.7 ve 0.0.14 hazırdır ve güvenlik yaprağını doldurur.
WordPress örneklerine sahip BT yöneticileri, denetlenen sistemlerin zaten güncellenmiş olup olmadığını kontrol etmelidir. Gerekirse, saldırı yüzeyini en aza indirmek için güncellemeye hızlı bir şekilde kızartılması gerekir.
Böyle bir güvenlik açığı geçen hafta WordPress eklentisi oluşturucuda tanındı. Eklenti 600.000'den fazla web sitesinde bile kullanılır. Boşluklar bile boşluğun “wp-config.php” yi yok etmesine izin verdi ve daha sonra tüm isteği üstlendi.
(DMK)
Bir yanıt yazın