Dolandırıcı Bildirim
Bu makale bu nedenle İngilizce olarak mevcuttur. Yayınlamadan önce teknik yardım ve editoryal revizyon ile çevrildi.
Bir daha gösterme.
Eklenti WordPress Formatörü 600.000'den fazla kuruluma ulaşır. BT'de BT güvenlik araştırmacıları, saldırganların nihayet savunmasız yetkilileri tam olarak benimseyebilecekleri zayıf bir nokta keşfettiler. Ancak, boşluğu doldurmak için bir güncelleme zaten hazır.
WordFence's BT araştırmacıları güvenlik açığının önünde bir blog yayınında uyarıyor. WordPress eklentisi oluşturucudaki zayıf nokta nedeniyle, kimlik doğrulamalı saldırganlar, iletim silinirse belirtilen dosyanın oluşturucusunu silen formun iletiminde herhangi bir dosya yolunu belirleyemez. Bu, “wp-config.php” i ortadan kaldırmanıza ve daha sonra zararlı kod gerçekleştirmenize olanak tanır (CVE-2025-6463 / EUVD, CVSS 8.8Risk “yüksek“).
Zayıf nokta hakkında ayrıntılı bilgi
“Entry_delete_upload_files” işlevi yolu yeterince kontrol etmez. Kayıtsız malign aktörler, dosyanın herhangi bir yolunu formun iletiminde belirtebilir, daha sonra iletilen form silindiğinde dosya kaldırılır. Bu, WordPress yöneticisi tarafından başlatılabilir veya WordFence eklentisi vergilerindeki otomatik olarak, varsayılan olarak orada neyin belirlendiğini açıklamaz.
“WP- Confe.php” in iptali, konfigürasyon durumuna WordPress isteğini ekler, bu da kontrolünüz altındaki bir veritabanına bağlıysa saldırganları tamamen benimseyebilir. Bu, kötü aktörlerin herhangi bir kod gerçekleştirmesini sağlar. Analizlerinde BT araştırmacıları menşe metinlerine girmeye ve sorunu daha derinden tartışmaya devam ediyor.
Analistler, “Bu güvenlik açığı sömürmek için bir pasif veya aktif etkileşim adımı gerektirse bile, formları ortadan kaldırmanın çok olası bir durum olduğunu varsayalım, özellikle de spam gibi görünüyorlarsa” diye yazıyor. Bu, güvenlik boşluğunu saldırganlar için bir hedef haline getirir. WordFence, WordPress isteklerinin mümkün olan en kısa sürede güncellenmesini sağlamak için etkilenmelerini önerir. 1.44.2 sürümünün forminali savunmasızdır, bu haftanın Pazartesi gününden itibaren 1.44.3 sürümünün düzeltilmesi.
Haziran ortasında, WordPress eklenti motorunda zayıf bir nokta bilindi. 100.000'den fazla web sitesinde kullanılır ve güvenlik açığı nedeniyle ilgili WordPress örneklerinin tam olarak uzlaşmasına izin vermiştir.
(DMK)
Ne yazık ki, bu bağlantı artık geçerli değil.
Boşa harcanan eşyalara olan bağlantılar, 7 günlük daha büyükse veya çok sık çağrılmışsa gerçekleşmez.
Bu makaleyi okumak için bir Haberler+ paketine ihtiyacınız var. Şimdi yükümlülük olmadan bir hafta deneyin – yükümlülük olmadan!
Bu makale bu nedenle İngilizce olarak mevcuttur. Yayınlamadan önce teknik yardım ve editoryal revizyon ile çevrildi.
Bir daha gösterme.
Eklenti WordPress Formatörü 600.000'den fazla kuruluma ulaşır. BT'de BT güvenlik araştırmacıları, saldırganların nihayet savunmasız yetkilileri tam olarak benimseyebilecekleri zayıf bir nokta keşfettiler. Ancak, boşluğu doldurmak için bir güncelleme zaten hazır.
WordFence's BT araştırmacıları güvenlik açığının önünde bir blog yayınında uyarıyor. WordPress eklentisi oluşturucudaki zayıf nokta nedeniyle, kimlik doğrulamalı saldırganlar, iletim silinirse belirtilen dosyanın oluşturucusunu silen formun iletiminde herhangi bir dosya yolunu belirleyemez. Bu, “wp-config.php” i ortadan kaldırmanıza ve daha sonra zararlı kod gerçekleştirmenize olanak tanır (CVE-2025-6463 / EUVD, CVSS 8.8Risk “yüksek“).
Zayıf nokta hakkında ayrıntılı bilgi
“Entry_delete_upload_files” işlevi yolu yeterince kontrol etmez. Kayıtsız malign aktörler, dosyanın herhangi bir yolunu formun iletiminde belirtebilir, daha sonra iletilen form silindiğinde dosya kaldırılır. Bu, WordPress yöneticisi tarafından başlatılabilir veya WordFence eklentisi vergilerindeki otomatik olarak, varsayılan olarak orada neyin belirlendiğini açıklamaz.
“WP- Confe.php” in iptali, konfigürasyon durumuna WordPress isteğini ekler, bu da kontrolünüz altındaki bir veritabanına bağlıysa saldırganları tamamen benimseyebilir. Bu, kötü aktörlerin herhangi bir kod gerçekleştirmesini sağlar. Analizlerinde BT araştırmacıları menşe metinlerine girmeye ve sorunu daha derinden tartışmaya devam ediyor.
Analistler, “Bu güvenlik açığı sömürmek için bir pasif veya aktif etkileşim adımı gerektirse bile, formları ortadan kaldırmanın çok olası bir durum olduğunu varsayalım, özellikle de spam gibi görünüyorlarsa” diye yazıyor. Bu, güvenlik boşluğunu saldırganlar için bir hedef haline getirir. WordFence, WordPress isteklerinin mümkün olan en kısa sürede güncellenmesini sağlamak için etkilenmelerini önerir. 1.44.2 sürümünün forminali savunmasızdır, bu haftanın Pazartesi gününden itibaren 1.44.3 sürümünün düzeltilmesi.
Haziran ortasında, WordPress eklenti motorunda zayıf bir nokta bilindi. 100.000'den fazla web sitesinde kullanılır ve güvenlik açığı nedeniyle ilgili WordPress örneklerinin tam olarak uzlaşmasına izin vermiştir.
(DMK)
Ne yazık ki, bu bağlantı artık geçerli değil.
Boşa harcanan eşyalara olan bağlantılar, 7 günlük daha büyükse veya çok sık çağrılmışsa gerçekleşmez.
Bu makaleyi okumak için bir Haberler+ paketine ihtiyacınız var. Şimdi yükümlülük olmadan bir hafta deneyin – yükümlülük olmadan!