En popüler WordPress eklentilerinden biri olan ve 300.000’den fazla web sitesinde bulunan SQL Injection güvenlik açığı, bilgisayar korsanlarının veritabanlarını çalması ve etkilenen sitelerin uzaktan ele geçirilmesi için kullanabileceği bir site olarak keşfedildi.
Kusur, son derece popüler WP İstatistikleri eklentisinde, site yöneticilerinin, sitelerinde çevrimiçi olan kullanıcı sayısı, ziyaret sayısı ve ziyaretçi sayısı ve sayfa istatistikleriyle ilgili ayrıntılı bilgi almalarına olanak tanıyan bir keşif keşfinde keşfedilmiştir .
Sucuri ekibi tarafından geliştirilen WordPress eklentisi WP İstatistikleri , en az bir abone hesabı olan uzak bir saldırganın web sitesinin veritabanından hassas bilgileri çalmasına ve muhtemelen web sitelerine yetkisiz erişim sağlamasına olanak veren SQL Enjeksiyon hatasına karşı savunmasızdır. SQL Injection, bilgisayar korsanlarının, veritabanlarının çalışmasına izin veren anahtar veritabanlarının yapısını ve konumunu belirlemek için web girişlerine kötü niyetli Yapısal Sorgulama Dili (SQL) kodunu enjekte etmesine olanak veren bir web uygulaması hatasıdır.
WP-İstatistik WP İstatistikleri eklentisindeki SQL Injection güvenlik açığı wp_statistics_searchengine_query () dahil olmak üzere birçok işlevde bulunur. Araştırmacılar, “Bu açıklık, kullanıcı tarafından sağlanan verilerdeki dezenfeksiyon eksikliğinden kaynaklanıyor.” Dedi. “Kısa kod wpstatistics’in bazı özellikleri önemli işlevler için parametre olarak geçiyor ve bu parametrelerin dezenfekte edilmesi sorun olmayacaktır.”
Wp_statistics_searchengine_query () dosyasında yer alan “include / functions / functions.php” dosyasındaki savunmasız işlevlerden biri, wp_ajax_parse_media_shortcode () işlevinin ana işlevi sayesinde WordPress ‘AJAX işlevselliği aracılığıyla erişilebilir durumdadır.
Bu işlev, web sitesi abonelerinin bu kısa kodu çalıştırmasına ve kötü amaçlı kodu kendi özelliklerine enjekte etmesine olanak tanıyan ek ayrıcalıkları kontrol etmez. Sucuri’deki araştırmacılar, WP İstatistik ekibinin kusurunu özel olarak açıkladı ve ekip, en son WP İstatistikleri sürüm 12.0.8’de bu güvenlik açığını kapattı. Bu nedenle, yüklenen eklentinin ve kullanıcı kaydına izin veren web sitenizin güvenlik açığı olan bir sürümünüz varsa, kesinlikle risk altındasınız ve en son sürümü en kısa zamanda yüklemelisiniz.