WordPress'in popüler eklentisinde kritik güvenlik açığı!

Piyasada wordpress tabanlı yüzbinlerce site bulunuyor. Bu söz konusu sitelerde kullanılan popüler bir Wordpress eklentisinde kritik bir güvenlik açığı keşfedildi. Söz konusu güvenlik açığı ile beraber siteler uzaktan saldırılara açık bir hale geliyor. ThemeGrill tarafından satılan ve Premium yada ücretsiz temalar ile beraber gelen “ThemeGrill Demo Importer” eklentisinin kritik bir güvenlik açığı ortaya çıktı. Dünya genelinde 200.000’den fazla internet sitesinde popüler olarak kullanılan bu Wordpress tema eklentisi, internet siteleri ve blogları uzaktan saldırılara açık bir hale getiriyor.

Wordpress’te ciddi tema açığı keşfedildi

ThemeGrill Demo Importer eklentisi, Wordpress site yöneticilerinin ThemeGrill’den demo içerikleri ile beraber ayarları ve widget’ları içe aktarmayı sağlıyor. Bu sayede kullanıcıların temayı hızlı bir şekilde özelleştirmeleri sağlanıyor. Fakat güvenlik şirketi WebARX’in yeni raporuna göre eklenti ile beraber bir ThemeGrill teması yüklendiği zaman ve etkinleştirildiğinde, kodu çalıştıran kullanıcının kimliğinin doğrulanıp doğrulanmadığını ve yönetici olup olmadığını kontrol etmeden bazı işlevler yönetici ayrıcalıkları ile gerçekleşiyor. Söz konusu bu güvenlik açığı, kimliği doğrulanmamış siber saldırıların hedeflemiş olduğu web sitelerin tüm veri tabanını silerek varsayılan duruma gelmesine sebep oluyor.

Hacker’lar ise bu noktada otomatik olarak yönetici olarak oturum açıp siteler üzerinde tam bir kontrol edinebiliyorlar. Yukarıda gördüğümüz ekran görüntüsünde ise kimlik doğrulama kontrolü olmadığı gözüküyor ve bu kapsamda yetkisiz erişim içi /wp-admin/admin-ajax.php dahil olarak sadece Wordpress’in herhangi bir admin tabanlı URL adresi için do_reset_wordpress parametresi bulunması gerekiyor. WebARX araştırmacılarına göre söz konusu bu güvenlik açığı, ThemeGrill Demo Importer eklentisinin son 3 yıl içerisinde yayınlanan 1.3.4’ten 1.6.1’e kadar olan tüm sürümlerinde bulunuyor.

Bu açık sonrasında geliştiriciler tarafından 16 Şubat tarihinde 1.6.2 sürüm güncellemesi yayınlandı. Bu noktada açığın giderilmesi bekleniyor.

• WordPress web siteleri yeni bir gelir kapısı daha oldu
• Türkiye'nin en iddialı WordPress etkinliği "WPTech Summit"
• Türkiye'nin en büyük WordPress etkinliği WPFest 2020 için geri sayım başladı!