WordPress, bir güvenlik ve bakım sürümü olan 5.8.1 sürümünü duyurdu. Üç güvenlik sorununu gidermek için WordPress’i, özellikle 5.4 ila 5.8 sürümlerini güncellemek önemlidir.
WordPress 5.8.1 Güvenlik ve Bakım Sürümü
WordPress veya bu konudaki herhangi bir yazılımın, öngörülemeyen sorunları gidermek ve ana sürüm için zamanında yapmayan iyileştirmeler sunmak için büyük bir sürüm güncellemesinin ardından bir hata düzeltme güncellemesi yayınlaması alışılmadık bir durum değildir. WordPress’te bu güncellemelere bakım sürümü denir. Bu güncelleme ayrıca WordPress çekirdeği için biraz nadir görülen bir güvenlik güncellemesi içerir. Bu, bu güncellemeyi tipik bakım sürümünden daha önemli hale getirir.
WordPress Güvenlik Sorunları Düzeltildi
WordPress 5.8.1, üç güvenlik açığını giderir:
- REST API içindeki bir veriye maruz kalma güvenlik açığı
- Gutenberg blok düzenleyicisinde Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığı
- Lodash JavaScript Kitaplığında yüksek önem derecesine sahip birden çok kritik güvenlik açığı
Yukarıdaki güvenlik açıklarının üçü de o kadar ilgili ki, WordPress duyurusu WordPress kurulumlarının hemen güncellenmesini tavsiye ediyor.
REST API Güvenlik Açığı
WordPress REST API, eklentilerin ve temaların WordPress çekirdeği ile etkileşime girmesine izin veren bir arayüzdür. REST API, son zamanlarda bir milyondan fazla web sitesini etkileyen Gutenberg Şablon Kitaplığı ve Redux Çerçevesi güvenlik açığı dahil olmak üzere bir güvenlik açıkları kaynağı olmuştur . Bu güvenlik açığı, hassas bilgilerin açığa çıkabileceği anlamına gelen bir veriye maruz kalma güvenlik açığı olarak tanımlanır. Şu anda ne tür bilgilerle ilgili başka ayrıntı yok, ancak başka bir güvenlik açığı üzerinden bir saldırı başlatmak için kullanılabilecek verilere yönelik parolalar kadar ciddi olabilir.
WordPress Gutenberg XSS Güvenlik Açığı
Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açıkları nispeten sık görülür. Bir iletişim veya e-posta formu gibi bir kullanıcı girişi olduğunda, WordPress kurulumunda istenmeyen davranışları tetikleyebilecek komut dosyalarının yüklenmesini önlemek için “temizlenmemiş” herhangi bir giriş olduğunda gerçekleşebilirler. Açık Web Uygulaması Güvenlik Projesi (OWASP) , XSS güvenlik açıklarının olası zararını açıklar :
“Bir saldırgan, şüphelenmeyen bir kullanıcıya kötü amaçlı bir komut dosyası göndermek için XSS kullanabilir. Son kullanıcının tarayıcısının, komut dosyasına güvenilmemesi gerektiğini bilmesinin hiçbir yolu yoktur ve komut dosyasını yürütür. Komut dosyasının güvenilir bir kaynaktan geldiğini düşündüğü için kötü amaçlı komut dosyası, tarayıcı tarafından tutulan ve bu siteyle kullanılan tüm tanımlama bilgilerine, oturum belirteçlerine veya diğer hassas bilgilere erişebilir. Bu komut dosyaları, HTML sayfasının içeriğini bile yeniden yazabilir.”
Bu özel güvenlik açığı Gutenberg blok düzenleyicisini etkiler.
WordPress Lodash JavaScript Kitaplığı Güvenlik Açıkları
Bu güvenlik açıkları en ilgili olabilir. Lodash JavaScript kitaplığı, geliştiriciler tarafından kullanılan ve birden çok güvenlik açığı olduğu tespit edilen bir dizi komut dosyasıdır. En son ve en güvenli sürüm Lodash 4.17.21’dir. ABD İç Güvenlik sponsorluğundaki CVE List web sitesi bu güvenlik açığının ayrıntılarını veriyor :
“4.17.21’den önceki Lodash sürümleri, şablon işlevi aracılığıyla Komut Enjeksiyonuna karşı savunmasızdır.”
4.1.7 dalında da Lodash kitaplığını etkileyen birçok başka güvenlik açığı var gibi görünüyor
WordPress Acil Güncelleme Çağrısı
Bu güvenlik açıkları, bu güncellemeye bir aciliyet duygusu katmaktadır. WordPress tarafından tüm yayıncıların güncelleme yapmaları önerilir. Resmi WordPress duyurusu güncellemeyi önerir:
“Bu bir güvenlik sürümü olduğu için sitelerinizi hemen güncellemeniz önerilir. WordPress 5.4’ten bu yana tüm sürümler de güncellendi.”