WPML, Popüler WordPress Çokdilli Eklentisinde Açık Bulundu

Çok dilli WordPress web siteleri oluşturma aracı olan popüler WPML, siber saldırılara karşı savunmasız olduğu Cybernews tarafından bugün bildirildi. Güvenlik araştırmacısı “stealthcopter” tarafından keşfedilen bu güvenlik açığı, saldırganların savunmasız web sitelerinde uzaktan kod çalıştırmasına izin verebilir.

Cybernews, bir milyondan fazla aktif kurulumu olan WPML’nin, WordPress sitelerinde çevirileri ve dil değişimini yönetmek için yaygın olarak kullanılan bir eklenti olduğunu belirtiyor. Ancak, araştırmacı, eklentinin belirli içerik türlerini işleyişinin sunucu tarafı şablon enjeksiyon saldırılarına karşı savunmasız olduğunu bildirdi.

Bu zafiyeti kullanarak, saldırganlar potansiyel olarak bir web sitesinin sunucusuna yetkisiz erişim sağlayabilir ve şifreler, kullanıcı verileri ve diğer gizli bilgiler gibi hassas bilgileri çalabilir.

“Hazırlanmış yük, alıntı işaretleri kullanmadan komutlar oluşturmak için gereken harfleri toplamak için dump fonksiyonunu kullanır. Temel komut çalıştırmaya sahip olduğumuzda, sunucu üzerinde daha fazla kontrol sağlamak için bunu daha fazla kullanabiliriz,” araştırmacı raporunda belirtti.

Araştırmacı, WordPress editöründe kötü niyetli bir kısa kodu başarılı bir şekilde çalıştırarak bu zafiyeti gösterdi. Karmaşık komutları oluşturmak ek çözüm yolları gerektirebilir, ancak başarılı bir saldırının potansiyel sonuçları ağırdır.

Bu olay, güvenliğin sürekli bir süreç olduğunu ve geliştirme ve veri işleme aşamalarının tümünde uyanıklık gerektirdiğini vurgular.

Araştırmacı, bu güvenlik açığının, şablon motorlarında yetersiz girdi temizleme risklerini vurguladığını sonuçlar. Geliştiricilere, özellikle dinamik içerik oluştururken, kullanıcı girişlerini sürekli olarak temizlemeleri ve doğrulamaları gerektiği konusunda tavsiyede bulunur.

Stealthcopter, bu güvenlik açığını Wordfence Hata Ödül Programı üzerinden bildirdi ve $1,639.00 ödül aldı, Wordfence‘in belirttiği gibi. Wordfence, bu güvenlik açığının WPML’nin 4.6.13 sürümünde giderildiğini belirtiyor ve kullanıcıların sitelerini en kısa sürede en son yamanan sürüme güncellemelerini şiddetle tavsiye ediyor.