WordPress Güvenlik Açığı ve Yama Özeti Mayıs 2023

Zafiyet raporları ve sorumlu açıklamalar, web sitesi güvenliği farkındalığı ve eğitimi için önemlidir. Bilinen yazılım zafiyetlerine yönelik otomatik saldırılar, web sitesi ihlallerinin önde gelen nedenlerinden biridir.

Web sitesi sahiplerini çevrelerindeki ortaya çıkan tehditler konusunda bilgilendirmeye yardımcı olmak için, geçtiğimiz ay WordPress ekosistemi için önemli güvenlik güncellemelerini ve zafiyet yamalarını bir liste halinde derledik.

WordPress 6.2.1 Güvenlik ve Bakım Güncellemesi


WordPress için yeni bir güncelleme yayınlandı ve WordPress 6.2.1’de güvenlik ve hata düzeltmeleri bulunuyor. Güvenlik ve bakım güncellemesi, kimlik doğrulama gerektirmeyen Dizin Gezintisi güvenlik açığı, kimlik doğrulama gerektirmeyen Cross-Site Scripting güvenlik açığı ve birkaç diğer daha düşük düzeydeki güvenlik açığını ele alıyor.

WordPress web sitenizi korumak ve riski en aza indirmek için her zaman CMS’nizi en son çekirdek güncellemeleriyle güncel tutmanızı şiddetle öneriyoruz.

Advanced Custom Fields Pro – Cross Site Scripting (XSS)

Cross-site scripting attack (XSS) yani siteler arası komut dosyası çalıştırma saldırısı, bir bilgisayar korsanının, iyi huylu ve güvenilir olarak görülen bir web sayfasının içeriğine, genellikle istemci tarafı komut dosyası biçiminde kötü amaçlı kod enjekte etmesiyle oluşur. Kötü amaçlı komut dosyası genellikle, JavaScript ve HTML olan istemci tarafı programlama dillerinde yazılır.

Güvenlik Riski:Yüksek
Güvenlik Açığı:Cross Site Scripting (XSS)
CVE:CVE-2023-30777
Kurulum Sayısı:+2,000,000
Etkilenen Yazılım:Advanced Custom Fields (ACF) <= 6.1.5
Yamalı Sürüm:Advanced Custom Fields (ACF) 6.1.6

Çözüm: Advanced Custom Fields PRO eklentisini 6.1.6 veya daha yeni bir sürüme güncelleyin.

Ninja Forms – Reflected Cross Site Scripting (XSS)

Güvenlik Riski:Yüksek
Güvenlik Açığı:Cross Site Scripting (XSS)
CVE:CVE-2023-1835
Kurulum Sayısı:+900,000
Etkilenen Yazılım:Ninja Forms Contact Form <= 3.6.21
Yamalı Sürüm:Ninja Forms Contact Form 3.6.22

Çözüm: Ninja Forms Contact Form eklentisini 3.6.22 veya daha yeni bir sürüme güncelleyin.

Loginizer – Reflected Cross Site Scripting (XSS)

Güvenlik Riski:Yüksek
Güvenlik Açığı:Cross Site Scripting (XSS)
CVE:CVE-2023-1835
Kurulum Sayısı:+1,000,000
Etkilenen Yazılım:Loginizer <= 1.7.8
Yamalı Sürüm:Loginizer 1.7.9

Çözüm: Loginizer Form eklentisini 1.7.9 veya daha yeni bir sürüme güncelleyin.

Essential Addons for Elementor – Critical Privilege Escalation

Yetki Yükseltmesi ile gerekli ayrıcalıklara sahip olmayan bir kullanıcı; işletim sistemi veya uygulamadaki tasarım kusurunu, hatayı ya da yapılandırmadaki bir hatayı görüntüleyebiliyor ve hassas bilgilere yetkisiz erişim sağlıyor. Siber saldırı zinciri üzerinde önemli bir konuma sahip olan Privilege Escalation aracılığıyla siber saldırgan sunucu veya işletim sistemini farklı komutlarla çalıştırma, kötü amaçlı yazılımların ağa sızmasını sağlama gibi eylemleri gerçekleştirebilir, hassas veri ihlali yapabilir, sistemin kaynaklarına ulaşabilir veya sistemi tamamen devralabilir.

Güvenlik Riski:Kritik
Güvenlik Açığı:
Kırık Kimlik Doğrulama(Broken Authentication)
CVE:CVE-2023-32243
Kurulum Sayısı:+1,000,000
Etkilenen Yazılım:Essential Addons for Elementor <= 5.7.1
Yamalı Sürüm:Essential Addons for Elementor 5.7.2

Çözüm: Essential Addons for Elementor eklentisini 5.7.2 veya daha yeni bir sürüme güncelleyin.

Contact Form Entries – SQL Injection

Günümüzde birçok veri tabanı SQL ile yazılmış komutlara uymak için tasarlanmıştır ve kullanıcılardan bilgi alan birçok web sitesi bu verileri SQL veri tabanlarına gönderir. Saldırganlar SQL güvenlik açıklarından faydalanarak kurbanların veri tabanlarını kontrol altına alırlar. Örneğin bir SQL enjeksiyon saldırısında bir bilgisayar korsanı, bazı SQL komutlarını ad ve adres bilgisi isteyen bir web formuna yazar; web sitesi ve veri tabanı doğru programlanmadıysa, veri tabanı bu komutları çalıştırmayı deneyebilir.

Güvenlik Riski:Yüksek
Güvenlik Açığı:SQL Injection
CVE:CVE-2023-31212
Kurulum Sayısı:+60,000
Etkilenen Yazılım:Contact Form Entries <= 1.3.0
Yamalı Sürüm:Contact Form Entries <= 1.3.1

Çözüm: Contact Form Entries eklentisini 1.3.1 veya daha yeni bir sürüme güncelleyin.

YARPP – SQL Injection

Güvenlik Riski:Yüksek
Güvenlik Açığı:SQL Injection
CVE:CVE-2023-0579
Kurulum Sayısı:+100,000
Etkilenen Yazılım:YARPP <= 5.30.2
Yamalı Sürüm:YARPP 5.30.3

Çözüm: YARPP eklentisini 5.30.3 veya daha yeni bir sürüme güncelleyin.

Otter Gutenberg Blocks – PHP Object Injection

PHP’de kullanıcıdan alınan verinin “unserialize()” fonksiyonundan geçirilmesi sonucu class’ın __wakeup() ve __destruct() metotlarını tetiklemesiyle oluşan bir zafiyettir.

Güvenlik Riski:Orta
Güvenlik Açığı:PHP Object Injection
CVE:CVE-2023-2288
Kurulum Sayısı:+300,000
Etkilenen Yazılım:Otter – Gutenberg Blocks <= 2.2.5
Yamalı Sürüm:Otter – Gutenberg Blocks 2.2.6

Çözüm: Otter – Gutenberg Blocks eklentisini 2.2.6 veya daha yeni bir sürüme güncelleyin.

Riski azaltmak için web sitesi yazılımınızı güncelleyin. En son sürümle yazılımını güncelleyemeyen kullanıcılar, bilinen zafiyetleri sanal olarak kapatmaya yardımcı olan bir güvenlik duvarı eklentisi kullanmaları önerilir.