06 Mayıs 2023Ravie Lakshmanan
WordPress için Gelişmiş Özel Alanlar eklentisi kullanıcılarından, bir güvenlik kusurunun keşfedilmesinin ardından 6.1.6 sürümünü güncellemeleri isteniyor.
CVE-2023-30777 tanımlayıcısı atanan sorun, aksi takdirde zararsız web sitelerine keyfi yürütülebilir komut dosyaları enjekte etmek için kötüye kullanılabilecek, yansıtılmış siteler arası komut dosyası çalıştırma (XSS) durumuyla ilgilidir.
Hem ücretsiz hem de pro versiyonu bulunan eklenti, iki milyon aktif kurulum. Sorun keşfedildi ve 2 Mayıs 2023’te bakımcılara bildirildi.
Patchstack araştırmacısı Rafie Muhammad, “Bu güvenlik açığı, kimliği doğrulanmamış herhangi bir kullanıcının hassas bilgileri çalmasına, bu durumda, ayrıcalıklı bir kullanıcıyı hazırlanmış URL yolunu ziyaret etmesi için kandırarak WordPress sitesinde ayrıcalık yükseltmesine olanak tanır.” söz konusu.
Yansıyan XSS saldırılar genellikle kurbanlar kandırılarak e-posta veya başka bir yolla gönderilen sahte bir bağlantıya tıkladığında gerçekleşir ve bu da kötü amaçlı kodun savunmasız web sitesine gönderilmesine neden olur ve bu da saldırıyı kullanıcının tarayıcısına geri yansıtır.
Sosyal mühendisliğin bu unsuru, yansıyan XSS’nin depolanmış XSS saldırılarıyla aynı erişime ve ölçeğe sahip olmadığı anlamına gelir ve bu da tehdit aktörlerinin kötü amaçlı bağlantıyı mümkün olduğu kadar çok kurbana dağıtmasına neden olur.
“[A reflected XSS attack] tipik olarak, bir web uygulamasının işlevlerinin manipüle edilmesine ve kötü amaçlı komut dosyalarının etkinleştirilmesine olanak tanıyan, gelen isteklerin yeterince sterilize edilmemesinin bir sonucudur.” notlar.
CVE-2023-30777’nin, yalnızca eklentiye erişimi olan oturum açmış kullanıcılar tarafından yapılması mümkün olsa da, Gelişmiş Özel Alanların varsayılan kurulumunda veya yapılandırmasında etkinleştirilebileceğini belirtmekte fayda var.
Geliştirme, Craft CMS’nin iki orta şiddette XSS kusurunu (CVE-2023-30177 Ve CVE-2023-31144) bir tehdit aktörü tarafından kötü amaçlı yüklere hizmet etmek için kullanılabilir.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
Ayrıca cPanel ürünündeki (CVE-2023-29489CVSS puanı: 6.1), isteğe bağlı JavaScript çalıştırmak için herhangi bir kimlik doğrulaması olmadan kullanılabilir.
Assetnote’tan Shubham Shah, “Bir saldırgan yalnızca cPanel’in yönetim bağlantı noktalarına değil, aynı zamanda 80 ve 443 numaralı bağlantı noktalarında çalışan uygulamalara da saldırabilir.” söz konusueklemek, bir rakibin geçerli bir kullanıcının cPanel oturumunu ele geçirmesine olanak sağlayabilir.
“Kimliği doğrulanmış bir cPanel kullanıcısı adına hareket ettikten sonra, bir web kabuğu yüklemek ve komut yürütme elde etmek genellikle önemsizdir.”
Popular Articles
- 29 Jun İlişki Analiz Testine Göre Mükemmel Çift misiniz?
- 17 Jul İki kardeşi kafasına sıkarak öldürdüler - Yaşam Haberleri
- 05 Jul 120 kilometre ile ölüme uçtular - Yaşam Haberleri
- 13 Jul ABD Başkanı Trumptan Endonezya Cumhurbaşkanı Vidodoya taziye
- 06 Jul Soylu: Türkiye Afet Yönetiminde Yeni Yapılanmayla Çağ Atlamıştır
Latest Articles
- 21 Jun El Salvador ‘Ulusal Bitcoin Ofisi’ Kuracak: Bilmeniz Gereken Her Şey
- 09 Jul Sirinin Robotik Sesi, iOS 11 ile Tarihe Karışacak!
- 23 Jun Fake Hesapla Birini İşletmek Suç mu? Bu ve Bunun Gibi Pek Çok Hukuki Konuda Merak Ettiklerinizi Açıklıyoruz
- 23 Jul Erken Dönem İnternetin Mimarı Lawrence Roberts, 81 Yaşında Hayatını Kaybetti
- 26 Jun LOréalin Kurumsal Girişim Sermaye Fonu BOLDdan Metaverse ve NFT pazarına odaklanan Digital Villagee yatırım
Other Articles
- Bursada yemek yaparken mutfakta çıkan yangında ağır yaralandı
- WGA, 3 Büyük Akış Tekeli Hakkında Rapor Yayınladı
- Satılan 10 Milyon Kopyanın Üzerinde İki Satışa Ulaşmak Gerekiyor
- IPhoneunu Kırarak Note9 Alan Milletvekili: iPhoneumu Geri Verin
- Girişimciler ürüne mi odaklanmalı satışa mı?