Siber güvenlik firması Wordfence'e göre WordPress Modern Etkinlik Takvimi eklentisi 150.000'den fazla kurulumda yüklü. BT güvenliği araştırmacıları, saldırganların rastgele dosyalar yüklemesine olanak tanıyan bir güvenlik açığı keşfettiler.
Duyuru
Wordfence'teki siber araştırmacılar, bloglarında güvenlik açığının Mayıs ayı sonunda keşfedildiğine dair bir analiz yayınladılar. Özellikte dosya türü denetiminin olmaması nedeniyle set_featured_image Saldırganlar isteğe bağlı dosyalar yükleyebilir. Analistler, bunun ağ üzerinden kötü amaçlı kod çalıştırılmasına izin verebileceğini açıklıyor (CVE-2024-5441, CVSS 8.8risk “yüksek”). Bunu yapabilmek için saldırganların “Abone” izin düzeyine veya daha yüksek bir seviyeye sahip olması gerekir. Eklenti, yöneticilerin, kimliği doğrulanmamış kullanıcıların ayarlara olay eklemesine izin vermesine olanak tanır; bu durumda saldırganlar, önceden kaydolmadan kötü amaçlı kod da ekleyebilir ve çalıştırabilir.
Eklentinin güncellenmiş sürümü mevcut
Modern Etkinlik Takvimi eklentisinin 7.11.0 ve önceki sürümleri etkilenir. Wordfence, Mayıs ayının sonlarında geliştiricilere güvenlik açığıyla ilgili bilgi gönderdi. Haziran ortasında yanıt verdiler ve bu hafta Pazartesi günü nihayet eklentinin hataları düzeltilmiş 7.12.0 sürümünü yayınladılar.
Modern Etkinlik Takvimi veya Light sürümünün kullanıcıları, mevcut sürümü mümkün olan en kısa sürede yüklemelidir.
Sadece iki hafta önce, saldırganların benzer kötü amaçlı kodları beş WordPress eklentisine yerleştirmeyi başardıkları öğrenildi. Bunlardan biri için yalnızca bir güncelleme vardı. Saldırganlar, kaçak kodla yönetici hesapları oluşturarak WordPress örneğini etkin bir şekilde ele geçirmeyi başardı.
(Bilmiyorum)
Duyuru
Wordfence'teki siber araştırmacılar, bloglarında güvenlik açığının Mayıs ayı sonunda keşfedildiğine dair bir analiz yayınladılar. Özellikte dosya türü denetiminin olmaması nedeniyle set_featured_image Saldırganlar isteğe bağlı dosyalar yükleyebilir. Analistler, bunun ağ üzerinden kötü amaçlı kod çalıştırılmasına izin verebileceğini açıklıyor (CVE-2024-5441, CVSS 8.8risk “yüksek”). Bunu yapabilmek için saldırganların “Abone” izin düzeyine veya daha yüksek bir seviyeye sahip olması gerekir. Eklenti, yöneticilerin, kimliği doğrulanmamış kullanıcıların ayarlara olay eklemesine izin vermesine olanak tanır; bu durumda saldırganlar, önceden kaydolmadan kötü amaçlı kod da ekleyebilir ve çalıştırabilir.
Eklentinin güncellenmiş sürümü mevcut
Modern Etkinlik Takvimi eklentisinin 7.11.0 ve önceki sürümleri etkilenir. Wordfence, Mayıs ayının sonlarında geliştiricilere güvenlik açığıyla ilgili bilgi gönderdi. Haziran ortasında yanıt verdiler ve bu hafta Pazartesi günü nihayet eklentinin hataları düzeltilmiş 7.12.0 sürümünü yayınladılar.
Modern Etkinlik Takvimi veya Light sürümünün kullanıcıları, mevcut sürümü mümkün olan en kısa sürede yüklemelidir.
Sadece iki hafta önce, saldırganların benzer kötü amaçlı kodları beş WordPress eklentisine yerleştirmeyi başardıkları öğrenildi. Bunlardan biri için yalnızca bir güncelleme vardı. Saldırganlar, kaçak kodla yönetici hesapları oluşturarak WordPress örneğini etkin bir şekilde ele geçirmeyi başardı.
(Bilmiyorum)