PHP Everywhere RCE Kusurlarından Binlerce Wordpress Sitesin’e Tehdit

Araştırmacılar, dünya çapında 30.000’den fazla web sitesi tarafından kullanılan Wordpress için ‘PHP Everywhere’ eklentisinde üç kritik uzaktan kod yürütme (RCE) güvenlik açığı buldu.

3 RCE Kusuru

3 Güvenlik açığı Wordfence’deki güvenlik analistleri tarafından keşfedildi.

İşte kusurların kısa bir açıklaması:

Son iki zafiyetten ilk güvenlik açığı, yalnızca siteye abone olarak yararlanabileceğinden, daha geniş istismara çok daha açıktır.

Örneğin, bir sitede oturum açmış bir müşteri ‘abone’ olarak kabul edilir. Bu nedenle yalnızca hedef platforma kaydolmak, kötü amaçlı PHP kod yürütmesi için yeterli ayrıcalık elde etmek için yeterli olacaktır.

Her durumda, bir sitede rastgele kod yürütmek, sitenin tamamen ele geçirilmesine yol açabilir, bu da web sitesi güvenliğinde olabilecek en kötü senaryodur.

Yalnızca Blok Düzenleyici İçin Düzeltme

Wordfence ekibi, güvenlik açıklarını 4 Ocak 2022’de keşfetti ve PHP Everywhere’in yazarını bulguları hakkında bilgilendirdi.

Satıcı, 10 Ocak 2022’de 3.0.0 sürümüyle bir güvenlik güncellemesi yayınladı. Geliştiriciler güncellemeyi geçen ay düzeltirken, yöneticilerin WordPress sitelerini ve eklentilerini düzenli olarak güncellememesi nadir görülen bir durum değildir. WordPress ‘deki indirme istatistiklerine göre , hatalar giderildiğinden beri 30.000 kurulumdan sadece 15.000’i eklentiyi güncelledi.

Bu nedenle, bu güvenlik açıklarının ciddiyeti nedeniyle , tüm PHP Everywhere kullanıcılarının şu anda mevcut olan en son sürüm olan 3.0.0 sürümüne yükselttiklerinden emin olmaları şiddetle tavsiye edilir.

Sitenizde klasik düzenleyici kullanıyorsanız eklentiyi kaldırmanız ve bileşenlerinde özel PHP kodu barındırmak için başka bir çözüm bulmanız gerekeceğini unutmayın.

Kaynak: bleepingcomputer.com

Exit mobile version