NextGEN Gallery Eklentisinde Güvenlik Açıkları Keşfedildi

Günümüzde internet sitesi geliştirmek isteyen bir kişinin birinci seçeneklerinden birisi WordPress platformudur. İster deneyimli ister deneyimsiz herkes tarafından kullanılabilen WordPress, kolaylığı ve sahip olduğu her kullanıcıya hitap edecek kadar geniş eklenti kütüphanesiyle internet dünyasındaki popülerliğini müdafaaya devam ediyor.

Fakat bugün, WordPress’in en tanınan eklentilerinden birisi hakkında kıymetli bir ikaz yapıldı. 2007 yılında yayınlanan ve 800 binden fazla faal WordPress sitesinde kullanılan galeri eklentisi NextGEN Gallery’de birden fazla güvenlik açığı keşfedildi. Uygulama geliştiricileri, keşfedilen güvenlik açıklarını kapatmayı başardı ve tüm kullanıcılarının eklentiyi güncellemeleri gerektiğini söyledi.

Site direkt ele geçirilebiliyor:

Wordfence Threat Intelligence tarafından keşfedilen güvenlik açıkları, iki adet “cross-site request forgery (CSRF/XSRF)” isimli güvenlik açığıydı. Güvenlik açıkları, araştırmacılar tarafından sırasıyla “yüksek şiddet” ve “kritik” olarak sınıflandırıldı. Açıklar, bir internet sitesinin ele geçirilmesine neden olabilme potansiyeline sahipti.

Eklentideki güvenlik açıklarından yararlanmak isteyen bir saldırgan, öncelikle WordPress yöneticisini bir formda kandırmalıydı. Makûs niyetli kontaklar ya da yemleme yoluyla tamamlanabilecek bu kademenin akabinde saldırgan, internet sitesine makûs niyetli ilişkiler ve yemleme düzenekleri ekleyebilirlerdi. Ayrıyeten sitenin denetimi de büsbütün onlara geçiyordu.

Wordfence, paylaştığı blog yazısında bu taarruzun belirli bir derecede toplumsal mühendislik gerektirdiğini tabir etti. NextGEN Gallery eklentisinin geliştiricileri güvenlik açıklarını kapatan bir güncelleme yayınlamış olsalar da bu güncelleme şimdi gayesine ulaşmadı. Geliştiriciler, şu ana kadar 300 bin kullanıcının gerekli güncellemeyi yüklediğini, geri kalan 500 binden fazla kullanıcınınsa internet sitelerinin inançsız olduğunu açıkladı.