WordPress ThemeGrill Demo Importer Eklentisinde Büyük Güvenlik Açığı

18Şub - by Hostrazzi - 0 - In Güvenlik Wordpress

WordPress ThemeGrill Demo Importer Eklentisinde Büyük Güvenlik Açığı

200.000’den fazla kullanıcın kullandığı ThemeGrill Demo Importer eklentisinde kritik bir güvenlik zaafiyeti bulundu ve etkilenen siteler olduğu bildiriliyor. Son bir kaç gün içinde 200.000 kullanıcı sayısının 100.000’ler seviyesine düştüğü belirtiliyor.

Zaafiyet kısaca şu işlemi yapıyor. Sitenin veritabanını tamamen boşaltıyor ve admin hakları ile siteye erişim sağlıyor.

Eklenti, bir ThemeGrill temasının kurulduğunu ve etkinleştirildiğini algıladığında, 44 satırındaki admin_init’e sıfırlanan /includes/class-demo-importer.php dosyasını yükler. bu admin_init hook’u yalnızca yönetici ortamında değil, kullanıcının kimliğinin doğrulanmasını gerektirmeyen /wp-admin/admin-ajax.php çağrılarında da çalışır.

themegrill-hack-hostrazzi

Sonrasında tüm veritabanı sıfırlanır ve admin kullanıcısı ile sisteme giriş yapabilir duruma gelir.

Çözüm için eklentiyi acil olarak güncellemeniz gerekmektedir. 7 saat önce sahibi tarafından yeni versiyonu eklenmiş gözüküyor. Eklenti sahibinin durumu kabul ettiği yazışmaya buradan ulaşabilirsiniz.

Eklenti değişiklik geçmişi için şu adrese göz atabilirsiniz.

Comments

comments

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir