Popüler bir WordPress eklentisi olan ve internet geçişleri için kullanılan All-in-One WP Migration eklentisi, site içeriğini, veri tabanlarını, medyayı, eklentileri ve temaları bir konumdan diğerine aktarma sürecini kolaylaştırıyor. Ancak elde edilen bulgulara göre, eklentinin milyonlarca internet sitesini riske atabilecek kritik bir güvenlik açığı barındırdığı tespit edildi.
WordPress yazılımı, her boyuttaki internet sitelerinin ve blogların oluşturulmasına, yayınlanmasına ve sürdürülmesine yardımcı olabilecek fonksiyonları bir arada bulundurması nedeniyle sıklıkla tercih edilen bir site hazırlama yazılımı.
Ancak WordPress ile kullanılan eklentiler, çoğu zaman güvenlik açıkları barındırabiliyor. Bu eklentilerden All-in-One WP Migration eklentisinin, milyonlarca internet sitesini tehlikeye atabilecek önemli bir güvenlik açığı bulundurduğu tespit edildi. Bulgulara göre, CVE-2023-40004 olarak takip edilen güvenlik açığının, hassas internet sitesi verilerine yetkisiz erişim ve manipülasyon için zemin oluşturduğu keşfedildi.
Saldırganlar, bu sayede token yapılandırmalarına erişerek, verileri kendi kontrolündeki hedeflere yönlendiriyor.
WordPress sitelerinin kolayca taşınmasını sağlayan All-in-One WP Migration eklentisi, web sitesi taşımak için verilerinin saldırganların kontrolündeki hedeflere yönlendirilmesine veya kötü amaçlı yedeklemelerin geri yüklenmesine yol açabiliyor. Bu zafiyetten yararlanan bir saldırgan kapsamlı veri tabanlarına, kullanıcı bilgilerine, özel bilgilere ve diğer kritik internet sitesi verilerine erişim sağlayabiliyor.
Eklenti 5 Milyon Aktif Sitede Kullanılıyor
Güvenlik açığı ayrıca birincil eklentinin ötesine uzanıyor. Box, Google Drive, OneDrive ve Dropbox gibi 3. parti hizmetler üzerinden geçişi kolaylaştırmak için tasarlanmış birkaç premium uzantı, güvenlik açığı bulunan kod parçacığını tam olarak içeriyor.
Bu güvenlik açığının ciddiyeti, yaklaşık 5 milyon olan aktif kurulum sayısı ile daha da artıyor. All-in-One WP Migration eklentisi genellikle aktif olarak çalışıyor ve çoğunlukla web sitesi taşıma işlemleri sırasında kullanılıyor. Ancak, aktif kurulum sayısının yüksek olması güvenlik açığı olasılığını önemli ölçüde artırabiliyor.
Güncellenme Yapılması Gereken Sürümler
All-in-One WP Migration ve ilişkili uzantılarına güvenen kullanıcıların aşağıdaki yamalı sürümlere güncelleme yapmaları gerekiyor.
– Box Uzantısı: v1.54
– Google Drive Uzantısı: v2.80
– OneDrive Uzantısı: v1.67
– Dropbox Uzantısı: v3.76
– All-in-One WP Migration: v7.78
All-in-One WP Migration ve etkilenen uzantılarını kullananlar için en son sürümlere güncelleme yapmak sadece bir öneri değil, WordPress internet sitelerinin bütünlüğünü ve güvenliğini korumak için önemli bir adım.