WordPress Özel Alan Eklenti Hatası 1 Milyondan Fazla Siteyi XSS Saldırılarına Maruz Bırakıyor
Güvenlik araştırmacıları, milyonlarca kuruluma sahip ‘Advanced Custom Fields’ ve ‘Advanced Custom Fields Pro’ WordPress eklentilerinin siteler arası komut dosyası saldırılarına (XSS) karşı savunmasız olduğu konusunda uyarıyor.
Bu iki eklenti, dünya çapındaki sitelerde 2.000.000 aktif kurulumla WordPress’in en popüler özel alan oluşturucuları arasında yer alıyor.
Patchstack araştırmacısı Rafie Muhammad, 2 Mayıs 2023’te CVE-2023-30777 tanımlayıcısına atanan yüksek şiddette yansıtılan XSS güvenlik açığını keşfetti.
XSS hataları genellikle saldırganların başkaları tarafından görüntülenen web sitelerine kötü amaçlı komut dosyaları enjekte etmesine izin vererek ziyaretçinin web tarayıcısında kod yürütülmesine neden olur.
Patchstack, XSS açığının kimliği doğrulanmamış bir saldırganın hassas bilgileri çalmasına ve etkilenen bir WordPress sitesinde ayrıcalıklarını artırmasına izin verebileceğini söylüyor.
Patchstack bülteninde “Bu güvenlik açığının Advanced Custom Fields eklentisinin varsayılan kurulumunda veya yapılandırmasında tetiklenebileceğini unutmayın” diyor.
“XSS ayrıca yalnızca Advanced Custom Fields eklentisine erişimi olan oturum açmış kullanıcılar tarafından tetiklenebilir.”
Bu, kimliği doğrulanmamış saldırganın, kusuru tetiklemek için eklentiye erişimi olan birinin kötü amaçlı bir URL’yi ziyaret etmesi için sosyal mühendislik yapması gerektiği anlamına geliyor.
Patchstack’in keşfi üzerine eklentinin geliştiricisi sorundan haberdar edildi ve 4 Mayıs 2023 tarihinde 6.1.6 sürümünde bir güvenlik güncellemesi yayınladı.
XSS açığı:
CVE-2023-30777 hatası, WordPress sitelerinin yönetici alanındaki ana gövde etiketi için CSS sınıflarını (tasarım ve düzen) kontrol eden ve filtreleyen bir kancanın çıktı değerini düzgün bir şekilde sterilize edemeyen ‘admin_body_class’ işlev işleyicisinden kaynaklanmaktadır.
Bir saldırgan, eklentinin kodunda, özellikle ‘$this→view’ değişkeninde güvenli olmayan bir doğrudan kod birleştirmeden yararlanarak, nihai ürün olan bir sınıf dizesine geçecek bileşenlerine zararlı kod (DOM XSS yükleri) ekleyebilir.
Eklenti tarafından kullanılan temizleme fonksiyonu, ‘sanitize_text_field’, kötü amaçlı kod enjeksiyonunu yakalayamayacağı için saldırıyı durdurmayacaktır.
Geliştirici, admin_body_class kancasının çıktı değerini düzgün bir şekilde sterilize eden ve böylece XSS’yi önleyen ‘esc_attr’ adlı yeni bir işlev uygulayarak 6.1.6 sürümündeki kusuru düzeltmiştir.
Tüm ‘Advanced Custom Fields’ ve ‘Advanced Custom Fields Pro’ kullanıcılarının mümkün olan en kısa sürede 6.1.6 veya sonraki bir sürüme yükseltmeleri tavsiye edilir.
WordPress.org indirme istatistiklerine göre, eklenti kullanıcılarının %72.1’i hala XSS ve diğer bilinen kusurlara karşı savunmasız olan 6.1’in altındaki sürümleri kullanmaktadır.
