Milyonlarca sitedeki bir kusur, satın alımlarınız için geri ödeme almanıza olanak tanırMilyonlarca site tarafından kullanılan WordPress form oluşturma eklentisi WPForms'ta büyük bir kusur keşfedildi. Bu güvenlik açığından yararlanılarak, bir İnternet kullanıcısına çevrimiçi satın alma işlemleri için geri ödeme yapılabilir… Her ne kadar bir yama hızla dağıtılsa da, milyonlarca site etkilenmeye devam ediyor.
Bir güvenlik açığı keşfedildi WPFormlarıAltı milyondan fazla site tarafından kullanılan bir WordPress eklentisi. Bleeping Computer'daki meslektaşlarımız tarafından bildirildiği üzere ihlal, Ekim ayının sonunda kendisine villus164 adını veren bir güvenlik araştırmacısı tarafından keşfedildi. Araştırmacı daha sonra WordPress için bir güvenlik eklentisi olan WordFence ekibine bilgi verdi. Keşfi karşılığında birkaç gün sonra 2.376 dolarlık bir ödül aldı.
Sınırlamalarla ücretli veya ücretsiz sürümü bulunan eklenti, kolayca oluşturmanıza olanak tanır kişiselleştirilmiş formlar WordPress siteleri için. İletişim formları, geri bildirim formları, abonelik formları ve ödeme formları tasarlamak mümkündür. PayPal ve Stripe dahil birçok çevrimiçi ödeme yöneticisiyle uyumludur.
Bir İnternet kullanıcısı bu kusurdan yararlanarak muhtemelenStripe'ta geri ödeme yapın site yöneticilerinin izni olmadan. Fiilen, tüketici sipariş verdikten sonra çevrimiçi mağazadan para iadesi alabilir.
Arıza, bir isteğin bir sayfadan mı yoksa yönetim yolundan mı (örneğin, WordPress kontrol paneli) gelip gelmediğini kontrol etmeyi amaçlayan bir fonksiyondadır. Ancak istekte bulunan kullanıcının izinlerini kontrol etmez. Başka bir deyişle, talepte bulunan kullanıcının bu verilere veya bu işlemlere erişim için gerekli haklara sahip olmasını sağlamaz. Sonuçta herhangi bir kullanıcı, yöneticilere ayrılmış komutları verebilir.
Bir düzeltme dağıtıldı
Eklentinin 1.8.4 ve 1.9.2.1'e kadar olan sürümleri etkilenir. Durumu düzeltmek için WPForms'un arkasındaki grup olan Awesome Motive'in geliştiricileri, eklenti güncellemesi 1.9.2.2.
WordFence teşvik ediyor “WordPress kullanıcılarının, bu güvenlik açığının kritik niteliği göz önüne alındığında, sitelerinin WPForms'un en son yamalı sürümüyle mümkün olan en kısa sürede güncellendiğini doğrulamaları gerekiyor”. WordPress istatistiklerine göre üç milyondan fazla site hâlâ savunmasız durumda.
Bu, popüler bir WordPress eklentisindeki bir kusurun milyonlarca web sitesini riske attığı ilk sefer değil. Geçtiğimiz ay, güvenlik odaklı bir WordPress eklentisi olan Gerçekten Basit Güvenlik'teki bir kusur, uzaktaki bir saldırganın 4 milyondan fazla siteye tam yönetici erişimi elde etmesine izin verdi. Birkaç ay önce Popup Builder eklentisindeki bir güvenlik açığı binlerce sitenin saldırıya uğramasına bile neden olmuştu.
Bip sesi çıkaran bilgisayar
Bir güvenlik açığı keşfedildi WPFormlarıAltı milyondan fazla site tarafından kullanılan bir WordPress eklentisi. Bleeping Computer'daki meslektaşlarımız tarafından bildirildiği üzere ihlal, Ekim ayının sonunda kendisine villus164 adını veren bir güvenlik araştırmacısı tarafından keşfedildi. Araştırmacı daha sonra WordPress için bir güvenlik eklentisi olan WordFence ekibine bilgi verdi. Keşfi karşılığında birkaç gün sonra 2.376 dolarlık bir ödül aldı.
Yetkisiz geri ödemeler
Sınırlamalarla ücretli veya ücretsiz sürümü bulunan eklenti, kolayca oluşturmanıza olanak tanır kişiselleştirilmiş formlar WordPress siteleri için. İletişim formları, geri bildirim formları, abonelik formları ve ödeme formları tasarlamak mümkündür. PayPal ve Stripe dahil birçok çevrimiçi ödeme yöneticisiyle uyumludur.
Bir İnternet kullanıcısı bu kusurdan yararlanarak muhtemelenStripe'ta geri ödeme yapın site yöneticilerinin izni olmadan. Fiilen, tüketici sipariş verdikten sonra çevrimiçi mağazadan para iadesi alabilir.
Ayrıca, kullanıcı şunları yapabilir: aboneliği iptal etmek keyfi olarak. Bu açıkça tüm web sitesi sahipleri için dramatiktir. Güvenlik açığı aslında gelirlerini riske atıyor.
Arıza, bir isteğin bir sayfadan mı yoksa yönetim yolundan mı (örneğin, WordPress kontrol paneli) gelip gelmediğini kontrol etmeyi amaçlayan bir fonksiyondadır. Ancak istekte bulunan kullanıcının izinlerini kontrol etmez. Başka bir deyişle, talepte bulunan kullanıcının bu verilere veya bu işlemlere erişim için gerekli haklara sahip olmasını sağlamaz. Sonuçta herhangi bir kullanıcı, yöneticilere ayrılmış komutları verebilir.
Bir düzeltme dağıtıldı
Eklentinin 1.8.4 ve 1.9.2.1'e kadar olan sürümleri etkilenir. Durumu düzeltmek için WPForms'un arkasındaki grup olan Awesome Motive'in geliştiricileri, eklenti güncellemesi 1.9.2.2.
WordFence teşvik ediyor “WordPress kullanıcılarının, bu güvenlik açığının kritik niteliği göz önüne alındığında, sitelerinin WPForms'un en son yamalı sürümüyle mümkün olan en kısa sürede güncellendiğini doğrulamaları gerekiyor”. WordPress istatistiklerine göre üç milyondan fazla site hâlâ savunmasız durumda.
Bu, popüler bir WordPress eklentisindeki bir kusurun milyonlarca web sitesini riske attığı ilk sefer değil. Geçtiğimiz ay, güvenlik odaklı bir WordPress eklentisi olan Gerçekten Basit Güvenlik'teki bir kusur, uzaktaki bir saldırganın 4 milyondan fazla siteye tam yönetici erişimi elde etmesine izin verdi. Birkaç ay önce Popup Builder eklentisindeki bir güvenlik açığı binlerce sitenin saldırıya uğramasına bile neden olmuştu.
Kaynak :01net'ten hiçbir haberi kaçırmamak için bizi Google Haberler ve WhatsApp'tan takip edin.
Bip sesi çıkaran bilgisayar