Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

WordPress gücü, 3 milyon siteye UpdraftPlus yamasını yükler

WordPress gücü, 3 milyon siteye UpdraftPlus yamasını yükler

WordPress, web sitesi abonelerinin genellikle kimlik bilgileri ve PII içeren en son veritabanı yedeklerini indirmesine olanak tanıyan yüksek önemdeki bir güvenlik açığını gidermek için tüm sitelerde UpdraftPlus eklentisini zorunlu güncelleme gibi nadir bir adım attı.

Üç milyon site popüler WordPress eklentisini kullanıyor, bu nedenle büyük platformlar da dahil olmak üzere internetin önemli bir payını etkileyen istismar potansiyeli önemliydi.

Güvenlik açığı, UpdraftPlus’ın 1.16.7 ila 1.22.2 arasındaki sürümlerini etkiler ve geliştiriciler, (ücretli) Premium sürüm için 1.22.3 veya 2.22.3 sürümüyle bunu düzeltti.

Güvenlik açığı güvenlik araştırmacısı tarafından keşfedildi Automattic’ten Marc Montpas ve olarak izlenir CVE-2022-0633 ve 8.5’lik bir CVSS v3.1 puanı taşır.

Kusur ve istismar

UpdraftPlus, planlanmış yedekleme işlevleri ve güvenilir bir e-posta adresine otomatik indirme seçeneği ile yedekleme ve geri yükleme sürecini basitleştirmeye yardımcı olur.

Ancak, eklentide bulunan hatalar nedeniyle, kimliği doğrulanmış herhangi bir düşük seviyeli kullanıcı, dosyaları indirmelerine izin verecek geçerli bir bağlantı oluşturabilir.

Sorun, bir yedeğin nonce tanımlayıcısına ve zaman damgalarına erişmek için gerekli ayrıcalıklara sahip olup olmadıklarına ilişkin yanlış kullanıcı doğrulamasıdır.

Saldırı, en son yedekleme hakkında bilgi almak için bir “veri” parametresi içeren bir sinyal isteği göndererek başlar.

Saldırıyı başlatan kalp atışı isteği
Saldırıyı başlatan kalp atışı isteği (Otomatik)

Bu bilgiye sahip olan saldırgan, uç nokta isteğini değiştirdikten sonra “e-posta yoluyla yedekleme gönder” işlevini tetikler.

Bu işlev normalde yalnızca yöneticilerle sınırlıdır, ancak hedef sitede hesabı olan herkes, izin kontrolünün eksik olması nedeniyle sınırsız olarak ona erişebilir.

Elbette, saldırganın veritabanı yedeklerini nasıl indireceğini bilmesi gerekir ve şimdilik Updraft, vahşi doğada böyle bir vaka görmediğini bildiriyor.

“Zamanın bu noktasında, (bir PoC’nin görünümü), bunu çözmek için en son UpdraftPlus sürümündeki değişiklikleri tersine mühendislik yapan bir bilgisayar korsanına güveniyor.” – Havanın yükselmesi.

Automattic raporunda belirtildiği gibi, savunmasız eklenti sürümlerinde bazı dolaylı kontroller hala mevcuttu, ancak bunlar yetenekli bir saldırganı durdurmak için yeterli değil.

Zaman çizelgesi ve düzeltmeler

Kusur 14 Şubat 2022’de keşfedildi ve UpdraftPlus hemen bilgilendirildi, teknik detaylar ise ertesi gün takip edildi.

Popüler eklentinin geliştiricilerinden yanıt neredeyse anında geldi ve 16 Şubat 2022’de WordPress, kurulumları 1.22.3 sürümüne zorunlu yükseltmeye başladı.

WordPress’e göre istatistikleri indir bu eklenti için, 16’sında 783.000 yükleme yükseltildi ve 17’sinde 1,7 milyon yükleme daha güncellendi.

Montpas, Bleeping Computer’a bunun, WordPress’in yöneticilerinin ayarlarından bağımsız olarak tüm sitelerde otomatik güncellemeleri zorladığı çok nadir ve son derece ciddi durumlardan biri olduğunu söyledi.

Güvenli sürüme hemen güncelleme yapmak istiyorsanız, güvenlik güncellemesini kontrol panelinden manuel olarak uygulayabilirsiniz. Bugün mevcut olan en son sürüm 1.22.4bu yüzden kullanılması tavsiye edilendir.

Bu güvenlik açığının, herhangi bir türde kullanıcı oturum açmayı desteklemeyen veya herhangi bir yedek tutmayan siteler için herhangi bir risk oluşturmadığını unutmayın.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.