Blog

Teknolojiden son haberler

WordPress WooCommerce Eklentisinde Kritik Bir Zafiyet Keşfedildi

Kategori:
Beğendim:
Beğenmedim:
Tarih:
05 May 2019

WordPress ile hazırlanmış ve WooCommerce eklentisinin desteklendiği bir e-ticaret web sitesine sahipseniz, siber suçlular yamasız zero-day bir zafiyeti kullanarak online mağazanızı tehdit edebilir.

WordPress’in güvenlik şirketlerinden biri WordPress’in resmi destek forumunun moderatörlerini protesto etmek amacıyla, WordPress’in eklentisinde bulunan bir zafiyet için oluşturulan kavram ve detay bilgilerini kullanarak etik olmayan bir davranış gerçekleştirdi.

Açıklanan bildirimin aksine güvenlik açığı söylendiği gibi WordPress çekirdeğinde veya WooCommerce eklentisinde bulunmuyor. Güvenlik açığı, e-ticaret sitelerinin ödeme sayfalarındaki formları özelleştirmelerini ve şu anda 60.000'den fazla web sitesi tarafından kullanılmasını sağlayarak WooCommerce'in işlevselliğini genişletmek amacıyla kullanılan WooCommerce Checkout Manager adlı bir eklentide yer almaktadır.

Söz konusu güvenlik açığı, WooCommerce Checkout Manager eklentisinde "Categorize Uploaded Files" seçeneğinin aktif olduğu zafiyetli sitelerde, saldırganların uzaktan kullanabileceği "arbitrary file upload" zafiyetidir.

Eğer bu durum kötüye kullanılırsa, kusur saldırganların web sunucusu işlemi bağlamında sunucu taraflı rastgale kod yürütmesine izin verebilir ve verilere erişmek, verileri değiştirmek veya yönetimsel erişim elde etmek için uygulamayı tehlikeye atabilir.

WooCommerce Checkout Manager 4.2.6 sürümü bu zafiyeti barındırmaktadır. WordPress web siteniz bu eklentiyi kullanıyorsa, ayarlarda "Categorize Uploaded Files"seçeneğini devre dışı bırakmanız veya yeni bir yamalı sürüm mevcut olana kadar eklentiyi tamamen devre dışı bırakmanız önerilir.

1 Yorum

Hasan Budak
Teşekkürler, wordpress için bilinen başka açıklar var mı?
Emre Çetinbaş
Önemli aktif açıklar oldukça blog altında paylaşım yapacağız.

Bir Yorum Bırakın

98145

Karakter Limit 400