En Son WordPress Güvenlik Sürümü, XSS, SQL Enjeksiyon Hatalarını Düzeltir
Popüler CMS'nin (WordPress) bir sonraki büyük sürümünden önce ele alınan dört yazılım kusuru.
WordPress geliştiricileri, içerik yönetimi yazılımındaki dört önemli güvenlik açığını ele alan güvenlik odaklı bir güncelleme yayınladı.
Daha spesifik olarak, WordPress 5.8.3, 3.7 ile 5.8 arasındaki WordPress sürümlerini etkileyen siteler arası komut dosyası çalıştırma (XSS) ve SQL enjeksiyon güvenlik açıklarını yamalamaktadır.
İlk olarak, SonarSource'tan Karim El Ouerghemmi ve Simon Scannell tarafından keşfedilen, sümüklü böcek sonrası güvenlik açığı yoluyla depolanmış bir XSS için bir düzeltme var.
El Ouerghemmi The Daily Swig'e şunları söyledi : “ WordPress'te, kimliği doğrulanmış bir saldırganın post sümüklü böceklere bir JavaScript yükü enjekte etmesine izin verebilecek depolanmış bir XSS güvenlik açığı keşfettik ve bildirdik.
"Bu yük daha sonra yönetim panosuna bulaşacak ve nihayetinde yönetici hesaplarını ele geçirmek ve kurulumu tehlikeye atmak için kullanılabilir."
El Ouerghemmi şöyle devam etti: "Güvenlik açığını üç yıldan fazla bir süre önce bildirdik ve sonunda yamalandığını görmekten mutluyuz."
SonarSource, bu güvenlik açığının teknik ayrıntılarını, yaygın olarak kullanılan eklentinin daha eski bir sürümü yüklendiğinde herhangi bir kullanıcı ayrıcalığı olmadan bundan nasıl yararlanılabileceğine ilişkin ayrıntılarla birlikte gelecek Salı (11 Ocak) bir blog gönderisinde yayınlamayı planlıyor.
Yine SonarSource'tan Simon Scannell, ayrıca WordPress 5.8.3 sürümüyle yamalanan “bazı çok bölgeli kurulumlarda nesne enjeksiyonu” ile ilgili bir sorun bildirdi.
Aynı güncelleme, GiaoHangTietKiem JSC'den ngocnb ve khuyenn tarafından keşfedilen ve Trend Micro'nun Zero Day Imitative (ZDI) programı aracılığıyla bildirilen WP_Query'deki bir SQL enjeksiyon güvenlik açığını ele alıyor.
WordPress 5.8.3, CMS'nin herhangi bir yeni özellik veya işlevsellik içermeyen güvenlik yama odaklı bir geçici sürümüdür.
Yılın ilk büyük çekirdek sürümü olan WordPress 5.9'un 25 Ocak'ta piyasaya sürülmesi planlanıyor.
Kaynak: https://portswigger.net/daily-swig/latest-wordpress-security-release-fixes-xss-sql-injection-bugs
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
