Suretriggers eklentisi 100.000 WordPress örneğinde etkindir. BT güvenlik araştırmacıları bu davaları tehlikeye atan bir güvenlik açığı keşfetti.
Bir blog yayınında, It WordFence araştırmacıları, ağ saldırganlarının önleyici kimlik doğrulaması olmadan yönetimsel kullanıcı hesapları oluşturabileceğini tartışıyorlar. Seramikler eklentisinde API anahtarı ayarlanmazsa, saldırganlar yönetici kullanıcılarını ekleyebilir ve bu nedenle WordPress isteklerini tamamen tehlikeye atabilir (CVE 2025-3102, CVSS 8.1. Risk “yüksek“).
Eklenti noktasının daha ayrıntılı incelemesi
“Salgınlar: WordPress için hepsi bir arada otomasyon platformunun eklentisi, kimlik doğrulamasından kaçınmaya duyarlıdır, bu da bir idari hesabın olası oluşturulmasına yol açar. Bunun nedeni, 1.78'e kadar tüm sürümlerde “Authentate_user” fonksiyonunda “Sect_key” değerinin revizyonu eksikliğidir, WordFence'ı açıklar. Analiz daha da derindir ve savunmasız kod parçalarını gösterir.
Surigers Programcıları Sürüm 1.0.79 Geçen hafta Perşembe günü yayınlandı. Güvenlik açığını kapatır. Suretriggers eklentisini kullanan WordPress operatörleri, güncellenmiş veya daha yeni bir sürümü kullandıklarından emin olmalıdır. En azından güvenlik açığı saldırıları artık bekleniyor.
Mevcut WordPress eklentisi nedeniyle, her gün düzinelerce güvenlik boşluğu vardır. Neyse ki, çoğu yaygın değildir. Ancak geçen hafta, yaklaşık 20.000 WordPress sayfasında aktif olan WordPress WP Ultimate CSV İthalatçı eklentisinde zayıf bir nokta biliniyordu. Saldırgan WordPress örneklerinde bir hesaba erişebiliyorsa, bu da tüm satın almayı varsaymanıza olanak tanır. Bu nedenle, yöneticilerin hızlı bir şekilde güncellenmesi gereken güncellenmiş bir yazılım sürümü de mevcuttur.
(DMK)
Bir blog yayınında, It WordFence araştırmacıları, ağ saldırganlarının önleyici kimlik doğrulaması olmadan yönetimsel kullanıcı hesapları oluşturabileceğini tartışıyorlar. Seramikler eklentisinde API anahtarı ayarlanmazsa, saldırganlar yönetici kullanıcılarını ekleyebilir ve bu nedenle WordPress isteklerini tamamen tehlikeye atabilir (CVE 2025-3102, CVSS 8.1. Risk “yüksek“).
Eklenti noktasının daha ayrıntılı incelemesi
“Salgınlar: WordPress için hepsi bir arada otomasyon platformunun eklentisi, kimlik doğrulamasından kaçınmaya duyarlıdır, bu da bir idari hesabın olası oluşturulmasına yol açar. Bunun nedeni, 1.78'e kadar tüm sürümlerde “Authentate_user” fonksiyonunda “Sect_key” değerinin revizyonu eksikliğidir, WordFence'ı açıklar. Analiz daha da derindir ve savunmasız kod parçalarını gösterir.
Surigers Programcıları Sürüm 1.0.79 Geçen hafta Perşembe günü yayınlandı. Güvenlik açığını kapatır. Suretriggers eklentisini kullanan WordPress operatörleri, güncellenmiş veya daha yeni bir sürümü kullandıklarından emin olmalıdır. En azından güvenlik açığı saldırıları artık bekleniyor.
Mevcut WordPress eklentisi nedeniyle, her gün düzinelerce güvenlik boşluğu vardır. Neyse ki, çoğu yaygın değildir. Ancak geçen hafta, yaklaşık 20.000 WordPress sayfasında aktif olan WordPress WP Ultimate CSV İthalatçı eklentisinde zayıf bir nokta biliniyordu. Saldırgan WordPress örneklerinde bir hesaba erişebiliyorsa, bu da tüm satın almayı varsaymanıza olanak tanır. Bu nedenle, yöneticilerin hızlı bir şekilde güncellenmesi gereken güncellenmiş bir yazılım sürümü de mevcuttur.
(DMK)