Facebook Wordpress Eklentisinde Kritik Zafiyet Tespit Edildi

“Facebook for WordPress” eklentisi üzerinde iki kritik güvenlik zafiyeti tespit edilmiştir.

Kullanıcıların bir sayfayı ziyaret ettiklerinde yapmış oldukları eylemleri yakalamak ve site trafiğini izlemek için kullanılan eklenti, 500.000’den fazla web sitesine yüklenmiştir. 22 Aralık’ta, siber güvenlik araştırmacıları, ilgili zafiyete 9.0 CVSS puanı vererek kritik bir güvenlik zafiyeti olduğunu açıklamıştır. PHP Object Injection olarak tanımlanan güvenlik zafiyeti, yazılımın run_action() işlevinde bulunmuştur.

Yüksek öneme sahip olduğu düşünülen ikinci güvenlik zafiyeti XSS zafiyetine yol açmaktadır ve uygulamanın yeni sürümünde yanlışlıkla ortaya çıkmıştır. Yazılım güncellendiğinde, eklenti entegrasyonunu kolaylaştırmak için bir AJAX işlevi tanıtılmıştır. Ancak, işlevdeki bir izin kontrolü sorunu, saldırganların bir yöneticiyi hedef sitede kimlik doğrulaması yapılırken bir eylemi gerçekleştirmesi için kandırabilirlerse yürütülebilecek istekler için bir yol açılmaktadır.

Her iki güvenlik zafiyeti de 3.0.4 sürümünde güncellenmiştir, bu nedenle eklenti kullanmakta olan kullanıcılarının, eklentiyi şu anda 3.0.5 olan en son sürümüne güncellemesi önerilmektedir.

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!