Bir WordPress eklentisi daha büyük bir zafiyetle gündeme geldi. Eklentide yer alan zafiyetle, yetkisiz kullanıcıların yönetici yetkilerine sahip olduğu belirtildi.
Dünya genelinde yüksek kullanım oranına sahip olan WordPress için geliştirilen eklentilerde zafiyet keşfi devam ediyor. Geçtiğimiz aylarda ortaya çıkan ve çok sayıda siteyi etkileyen zafiyetten sonra şimdi de Ultimate Member eklentisinde bir zafiyet ortaya çıktı. Zafiyet kullanılarak sitelerin ele geçirilebileceği belirtiliyor. Bu nedenle eklentiye gelen güncellemenin bir an önce yapılması gerektiği belirtiliyor.
Söz konusu eklenti 100 binden fazla WordPress internet sitesinde indirilmiş durumda. Eklenti, sitelere profil ekleme ve bu profillere ait üyelik işlemlerinin yapılmasına yarıyor.
100 bin civarında sitede büyük zafiyet
Wordfence Tehdit İstihbarat Takımı tarafından yayınlanan bir raporda, ele geçirilmiş olan eklenti sayesinde hackerların yetki yükseltmesi yapabildiği, böylelikle site üzerinde istenen her işlemin yapıldığı aktarıldı.
Zafiyetin 26 Ekim’de geliştirici ekibe aktarıldığı ve güvenliği sağlayan güncellemenin 29 Ekim’de yayınlandığı kaydedildi. Güvenli olan sürüm ise 2.1.12 olarak duyuruldu.
Araştırmacı ekip tarafından “çok kritik” olarak nitelendirilen açığın, yetkisiz kişilerin yönetici rolü kazanmasına yol açtığı tekrar tekrar vurgulandı.
Kaynak: Savunmatr