Wordpress’te ortaya çıkan 3 önemli güvenlik açığı kapatıldı

Yorumlar

Ünlü içerik yönetim sistemi Wordpress’in aralarında SQL injection ve çapraz betik saldırısı (XSS) açıklarının da bulunduğu 3 güvenlik açığını kapattığı bildirildi. Geçen hafta Wordpress’in geliştiricileri tarafından yayınlanan bir güvenlik bildirisinde yeni düzeltmelerin bu 3 güvenlik açığını çözdüğü ve bu 3 açığın da 4.7.1 ve öncesindeki sürümleri etkilediği belirtildi.

Bu açıklardan ilki, Alley Interactive isimli şirketten David Herrera tarafından bildirilmiş. Bu açık, Wordpress’teki “Press This” ya da Türkçe sürümdeki ismiyle “Yayınla Bunu” özelliğinde bulunuyordu. Bu özelliğin internette herhangi bir sayfayı beğendiğinizde bu sayfayı tek tuşla Wordpress’inizde paylaşmanızı sağladığını hatırlatalım. Bahsettiğimiz açık üzerinden, yetkisi olmayan kullanıcıların “Press This” özelliğindeki isimlendirme kurallarını ayarlayabildiğiniz arayüze ulaşabildiği belirtiliyor.

İkinci açık ise Mo Jangda isimli araştırmacı tarafından ortaya çıkarılmış. Bu açığın WP_Query işleminde olduğu belirtiliyor. WP_Query’nin, WordPress çekirdeğindeki fonksiyon ve veri yapılarına erişmek için kullanıldığını belirtelim. Bu açığın ise SQL enjeksiyonu saldırılarına yol açabileceği belirtilmiş. Ancak WordPress çekirdeğinin doğrudan böyle bir açık içermediği de söyleniyor. Yapılan açıklamaya göre bahsedilen bu açık ancak bir eklenti veya tema tarafından yanlışlıkla saldırıya açık hale getirilebilecek durumda. Yine de bu durumun da ortadan kaldırıldığı bildirildi.

Üçüncü açık ise WordPress’in kendi geliştiricilerinden biri tarafından fark edilmiş. Bu açığın XSS yani çapraz betik atağı denilen yöntemle dışarıdan zararlı kodların çalıştırılabilmesine izin verdiğini hatırlatalım. Bu açık da kapatılmış.

Eğer WordPress kullanıyorsanız ve bu açıklardan kurtulmak istiyorsanız, panelinizden güncelle işlemi ile 4.7.2 versiyonuna otomatik olarak güncelleyerek bu sorunları çözebilirsiniz.