300.000’e Yakın WordPress Web Sitesi Forminator Zafiyetinden Dolayı Risk Altında

 

wordpress

Yarım milyondan fazla WordPress web sitesinde kullanılan Forminator eklentisinde kritik bir güvenlik açığı tespit edildi ve siber saldırganlara herhangi bir kısıtlama olmaksızın dosya yükleme imkanı tanıyor.

Forminator, özelleştirilebilir iletişim formları, geri bildirimler, sınavlar, anketler, oylamalar ve sürükle bırak işlevselliği ile üçüncü taraf uygulamalarıyla uyumlu olan ödeme formları oluşturmayı sağlayan çok yönlü bir eklentidir.

CERT (Computer Emergency Response Team) Perşembe günü Forminator içindeki ciddi bir güvenlik açığını (CVE-2024-28890,  CVSS v3 9.8/10) vurgulayan bir uyarı yayınladı. Bu açık, siber saldırganların bu eklentiyi kullanan web sitelerine zararlı yazılım yüklemesine imkan sağlıyor.

Yapılan uyarı açıklamasına göre, “Saldırgan bu güvenlik açığını kullanarak hassas bilgilere erişebilir, web sitesini değiştirebilir veya bir hizmet dışı bırakma (DoS) saldırısı gerçekleştirebilir.” ifadesine yer verildi

Buna ek olarak yayınlanan bültende aşağıdaki güvenlik açıklarına karşı da uyarıda bulunuyor:

CVE-2024-31077: Saldırganların yönetici ayrıcalıkları ile rastgele SQL komutları çalıştırmasına olanak tanıyan ve Forminato’ün 1.29.3’e kadar olan sürümleri etkileyen bir SQL Injection zafiyeti.

CVE-2024-31857: Saldırganların özel olarak hazırlanmış bağlantılar aracılığıyla kötü niyetli HTML veya komut dosyası kodu enjekte etmelerini sağlayan ve Forminato’ün 1.15.4’e kadar olan sürümleri etkileyen bir Cross-Site Scripting (XSS) güvenlik açığı.

Sistem yöneticileri derhal bu sorunları çözen 1.29.3 sürümüne Forminator’u güncellemeleri konusunda güçlü bir şekilde uyarılmaktadır.

WordPress.org tarafından sağlanan istatistiklere göre, eklentinin 500.000’den fazla aktif kurulumu var, ancak yalnızca %55,9’u (Yaklaşık 279.000) 1.29 sürümünü çalıştırıyor. Bu, 220.000’den fazla sitenin siber saldırılara karşı savunmasız olduğu anlamına geliyor.

About The Author

Reply