WordPress’in Spam Protection, Anti-Spam ve FireWall eklentisinde tespit edilen iki kritik güvenlik açığı, kimlik doğrulaması yapılmamış saldırganların savunmasız sitelere kötü amaçlı eklentiler yüklemesine ve etkinleştirmesine, hatta uzaktan kod çalıştırma (RCE) gerçekleştirmesine olanak tanıyabilir.

Bu güvenlik açıkları, CVE-2024-10542 ve CVE-2024-10781 kodlarıyla izleniyor ve CVSS sistemine göre maksimum 10 üzerinden 9,8 olarak derecelendirildi. Söz konusu açıklar, bu ay yayınlanan 6.44 ve 6.45 sürümleriyle giderildi.

Eklenti Hakkında Genel Bilgi

CleanTalk tarafından geliştirilen ve 200.000’den fazla WordPress sitesinde kullanılan bu eklenti, spam yorumları, istenmeyen kayıtları ve anketleri engelleyen bir "evrensel anti-spam eklentisi" olarak tanıtılıyor.

Güvenlik Açıklarının Detayları

Wordfence’e göre, her iki güvenlik açığı da bir yetkilendirme atlama sorunu ile ilişkili. Bu durum, saldırganların rastgele eklentiler yüklemesine ve etkinleştirmesine izin veriyor. Etkinleştirilen eklenti kendi içinde güvenlik açığı barındırıyorsa, bu durum uzaktan kod çalıştırmaya neden olabilir.

1. CVE-2024-10781

• Bu açık, perform fonksiyonundaki api_key değerinin boşluk kontrolü yapılmaması nedeniyle ortaya çıkıyor. Bu açık, 6.44 ve önceki tüm sürümleri etkiliyor.
• Güvenlik araştırmacısı István Márton, bu açığın yetkilendirme olmaksızın rastgele eklenti yüklemeye olanak tanıdığını belirtti.

1. CVE-2024-10542

• Bu açık, checkWithoutToken() fonksiyonunda tersine DNS sahtekarlığı (reverse DNS spoofing) yoluyla yetkilendirme atlanmasına dayanıyor.

Bu iki açığın başarıyla istismar edilmesi, saldırganların eklenti yüklemesine, etkinleştirmesine, devre dışı bırakmasına veya kaldırmasına olanak sağlayabilir.

Kullanıcılara Tavsiyeler

Bu eklentiyi kullanan kullanıcıların, sitelerini olası tehditlerden korumak için en son yamalanmış sürüme (6.45 veya üstü) güncellemeleri önerilir.

WordPress Ekosistemindeki Güvenlik Riskleri

Bu güvenlik açıkları, WordPress sitelerine yönelik tehditlerin arttığı bir dönemde ortaya çıktı. Güvenlik firması Sucuri, kötü amaçlı yazılımların ve sahte yönlendirmelerin yayılmasını hedefleyen çeşitli kampanyalar hakkında uyarılarda bulundu. Bu kampanyalarda:

• Ziyaretçileri sahte reklamlara yönlendiren kötü amaçlı kodların yerleştirildiği,
• Giriş bilgilerini çalmak için kimlik avı yöntemlerinin kullanıldığı,
• Yönetici şifrelerini çalan zararlı yazılımların yayıldığı,
• Kullanıcıların VexTrio Viper gibi dolandırıcı sitelere yönlendirildiği,
• Sunucularda rastgele PHP kodlarının çalıştırıldığı belirtiliyor.

Kullanıcıların, eklentilerini düzenli olarak güncellemeleri, güçlü parolalar kullanmaları ve sitelerini şüpheli etkinliklere karşı sık sık denetlemeleri şiddetle tavsiye edilir.