ABD hükümeti Ulusal Güvenlik Açığı Veritabanı, WordPress için popüler Popup Maker eklentisindeki Depolanmış Siteler Arası Komut Dosyası çalıştırma güvenlik açığı hakkında bir danışma belgesi yayınladı.

WordPress için Popup Maker​

700.000'den fazla web sitesinde yüklü olan "Popup Maker – Popup" WordPress eklentisinde bir güvenlik açığı keşfedildi.

Popup Maker eklentisi, WooCommerce mağazalarında, e-posta bülteni kayıtlarında ve müşteri adayı oluşturmayla ilgili diğer popüler uygulamalarda dönüşümleri artırmak için tasarlanmış özelliklerle en popüler iletişim formlarının çoğuyla entegre olur.

Eklenti yalnızca 2021'den beri var olmasına rağmen olağanüstü bir büyüme yaşadı ve 4.000'den fazla beş yıldızlı inceleme kazandı.

Popup Maker Güvenlik Açığı​

Bu eklentiyi etkileyen güvenlik açığı, depolanmış siteler arası komut dosyası oluşturma (XSS) olarak adlandırılır. XSS güvenlik açıkları genellikle bir girdinin yüklenmekte olan şeyi temizlemede başarısız olması durumunda ortaya çıkar. Bir kullanıcının veri girebileceği her yerde savunmasız hale gelebilir, nelerin yüklenebileceği üzerinde kontrol eksikliği vardır. Bu özel güvenlik açığı, bir bilgisayar korsanı en azından katkıda bulunan düzeyinde erişime sahip bir kullanıcının kimlik bilgilerini ele geçirip saldırıyı başlattığında ortaya çıkabilir.

ABD Hükümeti Ulusal Güvenlik Açığı Veritabanı , güvenlik açığının nedenini ve bir saldırının nasıl gerçekleşebileceğini açıklıyor:

"1.16.9'dan önceki Popup Maker WordPress eklentisi, kısa kod özniteliklerinden birini doğrulamaz ve bunlardan kaçmaz; bu, katkıda bulunan kadar düşük bir role sahip kullanıcıların Depolanmış Siteler Arası Komut Dosyası Çalıştırma saldırıları gerçekleştirmesine izin verebilir."

Genişletmek için tıkla ...

Eklenti yazarı tarafından yayınlanan resmi bir değişiklik günlüğü, açıktan yararlanmanın, katkıda bulunan düzeyinde erişime sahip bir kişinin JavaScript çalıştırmasına izin verdiğini gösterir.

V1.16.9 sürümü için Popup Maker Plugin değişiklik günlüğü notları:

"Güvenlik: Katkıda bulunanların filtrelenmemiş JavaScript çalıştırmasına izin veren Yamalı XSS güvenlik açığı."

Genişletmek için tıkla ...

Güvenlik şirketi WPScan (Automattic'e aittir), istismarın nasıl çalıştığını gösteren bir kavram kanıtı yayınladı.

"Aaşağıdaki kısa kodu bir gönderiye/sayfaya koyun

[pum_sub_form name_field_type=”fullname” label_name=”Name” label_email=”Email” label_submit=”Subscribe” placeholder_name=”Name” placeholder_email=”Email” form_layout=”block” form_alignment=”center” form_style=”default” privacy_consent_enabled=”yes” privacy_consent_label=”Notify me about related content and special offers.” privacy_consent_type=”radio” privacy_consent_radio_layout=”inline” privacy_consent_yes_label=”Yes” privacy_consent_no_label=”No” privacy_usage_text=”If you opt in above we use this information send related content, discounts and other special offers.” redirect_enabled redirect=”javascript:alert(/XSS/)”]

Gönderiyi/sayfayı önizlerken/görüntülerken ve formu gönderirken XSS tetiklenecek”

Genişletmek için tıkla ...

İstismarın ne kadar kötü olabileceğine dair bir açıklama bulunmamakla birlikte, genel olarak Depolanmış XSS güvenlik açıkları, tüm sitenin ele geçirilmesi, kullanıcı verilerinin açığa çıkması ve trojan atların eklenmesi gibi ciddi sonuçlara yol açabilir.

Orijinal yamanın 1.16.9 sürümü için yayımlanmasından bu yana, güvenlik düzeltme ekiyle birlikte ortaya çıkan bir hatayı düzelten daha yeni bir güncelleştirme de dahil olmak üzere, sonraki güncelleştirmeler yapıldı. Popup Maker eklentisinin en güncel sürümü V1.17.1'dir. Eklentiyi kuran yayıncılar, en son sürümü güncellemeyi düşünmelidir.