Yakın bildirim
Bu makale bu nedenle İngilizce olarak mevcuttur. Yayınlamadan önce teknik yardım ve editoryal revizyon ile çevrildi.
Bir daha gösterme.
WordPress eklenti motorunda, saldırganlar haklarını genişletmek ve bu nedenle web sitesinde tam kontrol sahibi olmak için bir güvenlik boşluğunu kötüye kullanabilirler. Eklenti 100.000'den fazla WordPress web sitesine yüklenmiştir. Son zamanlarda güvenlik kaybını kapatmak için bir güncelleme mevcuttu.
Araştırmacıların güvenlik boşluğunu keşfettikleri WordFence. WordFence'in güvenlik bildirimine göre, sorun, eklenti motorundaki MCP'de (model bağlamının protokolü) zayıf bir nokta aracılığıyla kullanıcıların haklarının genişletilmesine izin veren yetersiz yetkilendirmeye dayanmaktadır. “Zayıf nokta, MCP'ye tam erişim sağlamak ve” WP_UPDATE_USER “gibi çeşitli komutları gerçekleştirmek için abone seviyelerine erişim haklarına veya daha yüksek olan kimlik doğrulamalı saldırganlardan yararlanabilir ve bu nedenle kullanıcı rollerini güncelleyerek yöneticiye erişim haklarını genişletebilir”, BT güvenlik araştırmacılarını açıklar (CVE-2025-5071 / No eUVS / NO. 8.8Risk “yüksek“).
Sınırlı sürpriz
Geliştirme araçları ve MCP ayarlarda etkinleştirildiğinde zayıf nokta yanlış kullanılabilir. Varsayılan olarak, bunlar kapalı.
Haftanın Çarşamba gününden itibaren mevcut olan AI motorundan 2.8.4 sürümü güvenlik kaybını mühürler. Eklentiyi WordPress isteklerinde kullanırsanız, güncellemeyi uzun süre ertelemeniz gerekmez, ancak derhal gerçekleştirmelisiniz.
Mayıs ayı ortasında, güvenlik boşlukları, 82.000'den fazla WordPress sayfasını tehlikeye atan plug-in thegem'de biliniyordu, böylece saldırganların serpiştirilmiş zararlı bir kodu olabilir. Bunun için bir güncelleme mevcuttur. Mayıs ayının sonundan bu yana WOOCOCOMMERCE WORTS listesindeki bir güvenlik boşluğu için, başlangıçta durum böyle değildi, aynı zamanda kötülük kodunu yüklemek için zararlı aktörler yüklemesine izin verdi. CVSS Massimo ile olası 10 puandan 10.0'ı “eleştirmen“Gap Intocated WordPress eklentisinin 2.9.2 sürümüne suskun kaldı. Bu arada, eklentinin 2.10.0 sürümü mevcuttur, PatchTack için Sözleşme, zayıf noktayı onarmalıdır.
(DMK)
Ne yazık ki, bu bağlantı artık geçerli değil.
Boşa harcanan eşyalara olan bağlantılar, 7 günlük daha büyükse veya çok sık çağrılmışsa gerçekleşmez.
Bu makaleyi okumak için bir Haberler+ paketine ihtiyacınız var. Şimdi yükümlülük olmadan bir hafta deneyin – yükümlülük olmadan!
Bu makale bu nedenle İngilizce olarak mevcuttur. Yayınlamadan önce teknik yardım ve editoryal revizyon ile çevrildi.
Bir daha gösterme.
WordPress eklenti motorunda, saldırganlar haklarını genişletmek ve bu nedenle web sitesinde tam kontrol sahibi olmak için bir güvenlik boşluğunu kötüye kullanabilirler. Eklenti 100.000'den fazla WordPress web sitesine yüklenmiştir. Son zamanlarda güvenlik kaybını kapatmak için bir güncelleme mevcuttu.
Araştırmacıların güvenlik boşluğunu keşfettikleri WordFence. WordFence'in güvenlik bildirimine göre, sorun, eklenti motorundaki MCP'de (model bağlamının protokolü) zayıf bir nokta aracılığıyla kullanıcıların haklarının genişletilmesine izin veren yetersiz yetkilendirmeye dayanmaktadır. “Zayıf nokta, MCP'ye tam erişim sağlamak ve” WP_UPDATE_USER “gibi çeşitli komutları gerçekleştirmek için abone seviyelerine erişim haklarına veya daha yüksek olan kimlik doğrulamalı saldırganlardan yararlanabilir ve bu nedenle kullanıcı rollerini güncelleyerek yöneticiye erişim haklarını genişletebilir”, BT güvenlik araştırmacılarını açıklar (CVE-2025-5071 / No eUVS / NO. 8.8Risk “yüksek“).
Sınırlı sürpriz
Geliştirme araçları ve MCP ayarlarda etkinleştirildiğinde zayıf nokta yanlış kullanılabilir. Varsayılan olarak, bunlar kapalı.
Haftanın Çarşamba gününden itibaren mevcut olan AI motorundan 2.8.4 sürümü güvenlik kaybını mühürler. Eklentiyi WordPress isteklerinde kullanırsanız, güncellemeyi uzun süre ertelemeniz gerekmez, ancak derhal gerçekleştirmelisiniz.
Mayıs ayı ortasında, güvenlik boşlukları, 82.000'den fazla WordPress sayfasını tehlikeye atan plug-in thegem'de biliniyordu, böylece saldırganların serpiştirilmiş zararlı bir kodu olabilir. Bunun için bir güncelleme mevcuttur. Mayıs ayının sonundan bu yana WOOCOCOMMERCE WORTS listesindeki bir güvenlik boşluğu için, başlangıçta durum böyle değildi, aynı zamanda kötülük kodunu yüklemek için zararlı aktörler yüklemesine izin verdi. CVSS Massimo ile olası 10 puandan 10.0'ı “eleştirmen“Gap Intocated WordPress eklentisinin 2.9.2 sürümüne suskun kaldı. Bu arada, eklentinin 2.10.0 sürümü mevcuttur, PatchTack için Sözleşme, zayıf noktayı onarmalıdır.
(DMK)
Ne yazık ki, bu bağlantı artık geçerli değil.
Boşa harcanan eşyalara olan bağlantılar, 7 günlük daha büyükse veya çok sık çağrılmışsa gerçekleşmez.
Bu makaleyi okumak için bir Haberler+ paketine ihtiyacınız var. Şimdi yükümlülük olmadan bir hafta deneyin – yükümlülük olmadan!