'Da bir milyondan fazla WordPress web sitesi risk altındadır.

Bir fişteki güvenlik açığı - Yoast sitesinden siteler, SQL saldırılarından saldırılara maruz kalıyor

Bir arama motoru sonuçlarını optimize etmek için popüler bir eklentiyi kullanan bir milyondan fazla WordPress web sitesi, yeni yayınlanmış bir yama uygulamıyorsa saldırıya uğrama riski taşıyor.

Hollandalı web sitesi optimizasyon firması Yoast tarafından geliştirilen WordPress SEO eklentisi, saldırganların bir sitenin veritabanını manipüle etmesine ve hileli idari hesaplar eklemesine izin veren bir güvenlik açığı içeriyor.

Kör SQL enjeksiyonu güvenlik açığı Ryan Dewhurst tarafından tespit edildi. WPScan güvenlik açığı tarayıcısının araştırmacı ve yardımcı geliştiricisi. Bu kusur, Yoast tarafından WordPress SEO sürümlerinin 1.7.3.3 ve daha eski sürümlerini etkilemektedir.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Teoride, kusurdan yararlanma kimlik doğrulaması gerektirir. Ancak, siteler arası bir talep sahteciliği (CSRF) koruması olmadığı için, saldırgan, kimliği doğrulanmış bir kullanıcıya benzeyen bir yönetici, editör veya yazarın özel hazırlanmış bir bağlantıyı tıklatması veya kötü amaçlı bir sayfayı ziyaret etmesi için kusurdan yararlanabilir. Dewhurst bir danışma belgesinde söyledi.

Bir CSRF saldırısı, bir kullanıcı bir saldırgan tarafından kontrol edilen bir Web sayfasını ziyaret ettiğinde, bir üçüncü taraf web sitesinde izinsiz bir eylem yürütmek için bir kullanıcının tarayıcısını zorlamayı içerir. Web siteleri, bu tür saldırıları önlemek için özel koruma mekanizmaları uygulamalıdır.

Yoast, ücretsiz WordPress SEO eklentisinin 1.7.4 sürümünü ve ürünün ticari varyantının 1.5.3 sürümünü yayınlayarak, çarşambaya hitap etmiştir.