All in One Seo Eklentisinde Kritik Güvenlik Açığı

WordPress sitelerinde yaygın olarak kullanılan All in One Seo eklentisinde kritik bir güvenlik açığı tespit edildi. Web sitelerinde WordPress ve All in One Seo eklentisi kullananların, bu güncellemeyi vakit kaybetmeden yapmaları gerekiyor.

Eklentide bir SQL Injection güvenlik açığı ve bir Ayrıcalık Yükseltme hatası bulundu. SQL Injection güvenlik açığı incelendiğinde, saldırganların etkilenen sitenin veritabanındaki ayrıcalıklı bilgilere (örneğin kullanıcı adları ve karma parolalar) erişmesine izin verdiği görülüyor. Ayrıcalık Yükseltme hatası ise kötü niyetli kullanıcılara, erişmemeleri gereken korumalı REST API uç noktalarına erişim izni veriyor. Bu sonuç olarak aboneler gibi düşük ayrıcalıklı hesaplara sahip kullanıcıların, etkilenen sitelerde uzaktan kod yürütmesini sağlayabilir.

Güvenlik açıkları, eklentinin yazarına e-posta yoluyla bildirildi. Kısa bir süre sonra bunu gidermek için 4.1.5.3 sürümünü yayınladılar. Bu yüzden bu yazıyı okur okumaz en son eklenti sürümüne güncelleme yapmanızı şiddetle tavsiye ederim. Ayrıca web sitenizde bir güvenlik çözümüne yer vermenizi öneririm.

All in One Seo Hakkında

Eklenti Adı: All in One Seo
Eklenti URI’si: https://wordpress.org/plugins/all-in-one-seo-pack/
Yazar: https://aioseo.com/

Etkilenen sürümler: 4.0.0 ve 4.1.5.2 arasındaki her sürüm dahil.

All In One SEO tarafından REST API uç noktalarının güvenliğini sağlamak için uygulanan ayrıcalık kontrolleri, düşük ayrıcalıklı hesaplara (aboneler gibi) sahip kullanıcılara eklentinin kaydettiği her bir uç noktaya erişim izni verebilecek çok ince bir hata içeriyordu.

Bu özellikle endişe verici çünkü eklentinin bazı uç noktaları oldukça hassas. Örneğin, aioseo/v1/htaccess uç nokta bir sitenin .htaccess’ini rastgele içerikle yeniden yazabilir. Saldırgan, .htaccess arka kapılarını gizlemek ve sunucuda kötü amaçlı kod yürütmek için bu özelliği kötüye kullanabilir.

Çözüm

Sitenizin All In One SEO eklentisinin hangi sürümünü kullandığını kontrol edin. Eğer bundan etkilenen bir sürümse en kısa sürede eklentiyi güncelleyin.

Emrah

1981 Samsun doğumlu ve Gazi Üniversitesi, Bilgisayar ve Öğretim Teknolojileri Eğitimi mezunu. Bilişim Teknolojileri Öğretmeni, Yazar, WebMaster, Blogger, SEO eğitmeni. Araştırmacı, sinema sever, fitness yapar, farklı doğal güzellikleri keşfetmeye bayılır.

Yorum Yap