WordPress geliştirme ekibi, üçü yüksek önem derecesine sahip dört güvenlik açığını ele alan kısa döngülü bir güvenlik sürümü olan 5.8.3 sürümünü yayınladı.
Set, WP_Query üzerinde bir SQL enjeksiyonu, WP_Meta_Query aracılığıyla bir kör SQL enjeksiyonu, post sümüklü böcekler aracılığıyla bir XSS saldırısı ve bir yönetici nesne enjeksiyonu içerir.
Tüm sorunların kullanımı için önkoşulları vardır ve varsayılan otomatik çekirdek güncelleme ayarını kullanan çoğu WordPress sitesi tehlikede değildir.
Ancak, wp-config.php’de otomatik çekirdek güncellemeleri devre dışı bırakan salt okunur dosya sistemlerine sahip WordPress 5.8.2 veya daha eski sürümleri kullanan siteler, tanımlanan kusurlara dayalı saldırılara açık olabilir.
En son güvenlik güncellemesiyle ele alınan dört kusur şunlardır:
- CVE-2022-21661: WP_Query aracılığıyla yüksek önem derecesi (CVSS puanı 8.0) SQL enjeksiyonu. Bu kusur, WP-Query kullanan eklentiler ve temalar aracılığıyla kullanılabilir. Düzeltmeler, WordPress sürümlerini 3.7.37’ye kadar kapsar.
- CVE-2022-21662: Yazarların (düşük ayrıcalıklı kullanıcılar) kötü amaçlı bir arka kapı eklemesine veya posta bilgilerini kötüye kullanarak bir siteyi ele geçirmesine olanak tanıyan yüksek önem derecesi (CVSS puanı 8.0) XSS güvenlik açığı. Düzeltmeler, WordPress sürümlerini 3.7.37’ye kadar kapsar.
- CVE-2022-21664: Yüksek önem derecesi (CVSS puanı 7.4) WP_Meta_Query çekirdek sınıfı aracılığıyla SQL enjeksiyonu. Düzeltmeler, WordPress sürümlerini 4.1.34’e kadar kapsar.
- CVE-2022-21663: Yalnızca bir tehdit aktörünün yönetici hesabını ele geçirmesi durumunda kullanılabilecek orta önemde (CVSS puanı 6.6) nesne yerleştirme sorunu. Düzeltmeler, WordPress sürümlerini 3.7.37’ye kadar kapsar.
Yukarıdakilerin vahşi ortamda aktif olarak sömürüldüğüne dair herhangi bir rapor bulunmamaktadır ve bu kusurların hiçbirinin WordPress sitelerinin çoğu üzerinde ciddi bir potansiyel etkisi olduğu düşünülmemektedir.
Bununla birlikte, tüm WordPress site sahiplerinin 5.8.3 sürümüne yükseltin, güvenlik duvarı yapılandırmalarını gözden geçirin ve WP çekirdek güncellemelerinin etkinleştirildiğinden emin olun.
Bu ayar, wp-config.php içindeki “define(‘WP_AUTO_UPDATE_CORE’, true );” olması gereken ‘define’ parametresinde görülebilir.
Otomatik çekirdek güncellemeler 2013’te WordPress 3.7’de tanıtıldı ve buna göre resmi istatistikler, tüm WP sitelerinin yalnızca %0.7’si şu anda bundan daha eski bir sürüm çalıştırıyor.