bencede
New member
WordPress eklentisi “Gerçekten Basit Güvenlik”te, saldırganların bir WordPress sitesinin kontrolünü ele geçirmesine olanak tanıyan kritik bir güvenlik açığı var. Kimlik doğrulamayı atlayabilirsiniz. Siber güvenlik firması Wordfence, eklentinin dört milyondan fazla WordPress web sitesinde kullanıldığını açıklıyor.
Duyuru
Bir blog yazısında Wordfence, eklentinin daha önce Gerçekten Basit SSL olarak bilindiğini ve artık Ücretsiz, Pro ve Pro Multisite sürümlerinde mevcut olduğunu yazıyor. 9.0.0 ila 9.1.1.1 arasındaki tüm sürümler güvenlik açığına sahiptir.
Eklentideki güvenlik açığı kimlik doğrulamanın atlanmasına izin veriyor
Etkilenen bu sürümlerde, iki faktörlü REST API'sinde kullanıcı denetimi hatasının yetersiz işlenmesi nedeniyle saldırganlar işleve erişim sağlayabilir check_login_and_get_user önceden kimlik doğrulaması yapılmadan bile siteye mevcut bir kullanıcı olarak erişin (CVE-2024-10924, CVSS 9.8“Risk”eleştirmen“). Örneğin yönetici hesabıyla. Ancak bu amaçla iki faktörlü kimlik doğrulamayı etkinleştirmeniz gerekir: bu varsayılan olarak devre dışı bırakılmış olsa da, BT güvenlik uzmanları her zaman bu güvenlik mekanizmasının etkinleştirilmesini önerir.
Blog yazısında Wordfence yazarları, ilgilenenler için güvenlik açığını daha ayrıntılı olarak analiz ediyor.
Güvenlik açığının ciddiyetinin yüksek olması nedeniyle eklenti geliştiricisi, güvenlik açığı bulunan bir sürümü çalıştıran WordPress örneklerine, hata düzeltilmiş sürüm 9.1.2'ye otomatik olarak zorunlu bir güvenlik güncellemesi dağıtmak için WordPress Eklentileri ekibiyle birlikte çalıştı. Bu, etkilenen web sitelerinin çoğunun zaten yamalı sürümü kullanıyor olması gerektiği anlamına gelir. Ancak Wordfence, güncellemenin gerçekten oluşup oluşmadığını kontrol edip, gerekirse bunu manuel olarak yapmanın iyi bir fikir olduğunu vurguluyor. Siber güvenlik şirketi, denemenin bu hafta perşembe günü başladığını açıkladı.
Çok sayıda WordPress eklentisi mevcut olduğundan güvenlik açıkları sıklıkla ortaya çıkar. Ancak bir eklentinin aynı anda bu kadar çok web sitesini tehlikeye atması nadirdir. Altı milyondan fazla WordPress sayfasında kullanılan Litespeed önbellekleme eklentisi, yakın zamanda ciddi güvenlik açıkları nedeniyle fark edildi.
(Bilmiyorum)
Duyuru
Bir blog yazısında Wordfence, eklentinin daha önce Gerçekten Basit SSL olarak bilindiğini ve artık Ücretsiz, Pro ve Pro Multisite sürümlerinde mevcut olduğunu yazıyor. 9.0.0 ila 9.1.1.1 arasındaki tüm sürümler güvenlik açığına sahiptir.
Eklentideki güvenlik açığı kimlik doğrulamanın atlanmasına izin veriyor
Etkilenen bu sürümlerde, iki faktörlü REST API'sinde kullanıcı denetimi hatasının yetersiz işlenmesi nedeniyle saldırganlar işleve erişim sağlayabilir check_login_and_get_user önceden kimlik doğrulaması yapılmadan bile siteye mevcut bir kullanıcı olarak erişin (CVE-2024-10924, CVSS 9.8“Risk”eleştirmen“). Örneğin yönetici hesabıyla. Ancak bu amaçla iki faktörlü kimlik doğrulamayı etkinleştirmeniz gerekir: bu varsayılan olarak devre dışı bırakılmış olsa da, BT güvenlik uzmanları her zaman bu güvenlik mekanizmasının etkinleştirilmesini önerir.
Blog yazısında Wordfence yazarları, ilgilenenler için güvenlik açığını daha ayrıntılı olarak analiz ediyor.
Güvenlik açığının ciddiyetinin yüksek olması nedeniyle eklenti geliştiricisi, güvenlik açığı bulunan bir sürümü çalıştıran WordPress örneklerine, hata düzeltilmiş sürüm 9.1.2'ye otomatik olarak zorunlu bir güvenlik güncellemesi dağıtmak için WordPress Eklentileri ekibiyle birlikte çalıştı. Bu, etkilenen web sitelerinin çoğunun zaten yamalı sürümü kullanıyor olması gerektiği anlamına gelir. Ancak Wordfence, güncellemenin gerçekten oluşup oluşmadığını kontrol edip, gerekirse bunu manuel olarak yapmanın iyi bir fikir olduğunu vurguluyor. Siber güvenlik şirketi, denemenin bu hafta perşembe günü başladığını açıkladı.
Çok sayıda WordPress eklentisi mevcut olduğundan güvenlik açıkları sıklıkla ortaya çıkar. Ancak bir eklentinin aynı anda bu kadar çok web sitesini tehlikeye atması nadirdir. Altı milyondan fazla WordPress sayfasında kullanılan Litespeed önbellekleme eklentisi, yakın zamanda ciddi güvenlik açıkları nedeniyle fark edildi.
(Bilmiyorum)