Bir güvenlik kusurunun keşfedilmesinin ardından, WordPress için Gelişmiş Özel Alanlar eklentisi kullanıcılarından, 6.1.6 sürümünü güncellemeleri isteniyor.
CVE-2023-30777 kimlik numarası atanmış olan bu sorun, zararsız olan web sitelerine keyfi yürütülebilir komut dosyaları enjekte etmek için kötüye kullanılabilecek, yansıtılan siteler arası komut dosyası çalıştırma (reflected cross-site scripting, XSS) durumuyla ilgilidir.
Hem ücretsiz hem de pro versiyonu bulunan eklenti, iki milyondan fazla aktif kuruluma sahip. 2 Mayıs 2023’te sorun keşfedildi ve bildirildi.
Patchstack araştırmacısı Rafie Muhammad, “Bu güvenlik açığı, kimliği doğrulanmamış herhangi bir kullanıcının hassas bilgileri çalmasına, bu durumda, ayrıcalıklı bir kullanıcıyı hazırlanmış URL yolunu ziyaret etmesi için kandırarak WordPress sitesinde ayrıcalık yükseltmesine izin veriyor” dedi.
Yansıtılmış XSS saldırıları genellikle kurbanlar, e-posta veya başka bir yolla gönderilen sahte bir bağlantıya tıklamaları için kandırıldığında ortaya çıkar ve kötü amaçlı kodun savunmasız web sitesine gönderilmesine neden olarak saldırıyı kullanıcının tarayıcısına geri yansıtır.
Sosyal mühendisliğin bu unsuru, yansıyan XSS’nin depolanmış XSS saldırılarıyla aynı erişime ve ölçeğe sahip olmadığı anlamına gelir ve bu da tehdit aktörlerinin kötü amaçlı bağlantıyı mümkün olduğu kadar çok kurbana dağıtmasına neden olur.
Imperva, “Yansıtılmış bir XSS saldırısı, genellikle gelen isteklerin yeterince sterilize edilmemesinin bir sonucudur, bu da bir web uygulamasının işlevlerinin manipüle edilmesine ve kötü amaçlı komut dosyalarının etkinleştirilmesine olanak tanır.” dedi.
CVE-2023-30777’nin Gelişmiş Özel Alanların varsayılan kurulumunda veya yapılandırmasında etkinleştirilebileceğini belirtmekte fayda var, ancak bunu eklentiye erişimi olan oturum açmış kullanıcılar tarafından da yapmak mümkündür.
Geliştirme, Craft CMS’nin bir tehdit aktörü tarafından kötü niyetli yüklere hizmet etmek için kullanılabilecek iki orta önem dereceli XSS kusurunu (CVE-2023-30177 ve CVE-2023-31144) düzeltme eki yapmasıyla geldi.
Ayrıca cPanel ürünündeki (CVE-2023-29489, CVSS puanı: 6.1) başka bir XSS kusurunun ifşa edilmesinin ardından, rastgele JavaScript çalıştırmak için herhangi bir kimlik doğrulaması yapılmadan istismar edilebilir.
Assetnote’tan Shubham Shah, “Bir saldırgan yalnızca cPanel’in yönetim bağlantı noktalarına değil, aynı zamanda 80 ve 443 numaralı bağlantı noktalarında çalışan uygulamalara da saldırabilir.”
“Kimliği doğrulanmış bir cPanel kullanıcısı adına hareket ettikten sonra, bir web shell yüklemek ve komut yürütme elde etmek genellikle önemsizdir.”
