WordPress Contact Form 7 Eklentisini Kullananlar Büyük Tehlikede!

WordPress Contact Form 7 eklentisini kullananları büyük tehlike bekliyor! Eklentide yer alan bir güvenlik açığı hackerların sitenize saldırmasına imkan veriyor.

5 milyondan fazla web sitesinde aktif olarak kullanılan WordPress eklentisi, kritik bir güvenlik açığı ile gündeme geldi. WordPress Contact Form 7 eklentisinin içerisinde yer alan güvenlik açığı, web sitelerini büyük bir tehlikenin içine sürükledi. Siz de WordPress sitelerinde en çok kullanılan eklentiyi kullanıyorsanız tehlikede olabilirsiniz.

WordPress Contact Form 7, Güvenlik Açığı ile Gündemde

Astra güvenlik araştırmacıları tarafından yapılan bir güvenlik zafiyeti araştırması sonucunda birden fazla iletişim formunu yönetmenize ve özelleştirmenize imkan veren ve CAPTCHA, Akismet gibi bir dizi popüler eklenti ile uyumluluk özelliğine sahip popüler form eklentisinde kritik bir güvenlik açığı tespit edildi.

WordPress’in en popüler uygulamalarından bir tanesi olan ve bugün WP altyapısını kullanan hemen hemen her web sitesinde kullanılan eklenti her zaman kullanıcıları gizlice izleme, çerezleri suistimal etme niteliğinde kullanma, formu dolduran kullanıcıların kişisel verilerini toplama gibi durumlardan oldukça uzak duran bir eklenti olmuştur ancak son yapılan araştırmalar sonrasında eklentinin kolaylıkla kötüye kullanılmasına olanak tanıyan bir açık keşfedildi.

Eklentide yer alan güvenlik açığı, web sitelerindeki güvenlik açıklarından faydalanan bilgisayar korsanlarının web sitesine zararlı kod, kötü amaçlı yazılım eklemesine olanak tanıyor. Form eklentisi, durumun ne kadar acil bir durum olduğunun farkında olarak güvenlik açığının tespit edilmesinin üzerinden çok geçmeden 7.5.3.2 numarasına sahip güncelleme ile söz konusu güvenlik açığını kapatmış ve web sitesi sahiplerine, eklentinin kullanıcılarına yeni güncellemeyi hemen yüklemeleri tavsiyesinde bulunmuştur.

Araştırma ekibi, konu hakkında yaptığı açıklamada, “Jinson Varghese liderliğindeki araştırma ekibimiz yakın zamanda bir WordPress eklentisi olan Contact Form 7.5.3.1 ve daha eski sürümlerinde yüksek önem derecesine sahip sınırsız dosya yüklemeye olanak veren bir güvenlik açığı keşfetti. Siber suçlular bu güvenlik açığından faydalanarak bir web sitesinde izin verilmiş yüklenebilir dosya türlerine ilişkin tüm kısıtlamaları atlayarak herhangi bir türden dosyayı web sitesinin sunucusuna yükleyebilir. Bu açık ayrıca 7.5.3.1 ve daha altı bir eklenti sürümünü kullanan ve formlarda dosya yüklemeyi etkinleştiren sitelere kötü amaçlı yazılım yüklemesine olanak tanıyor” ifadelerini kullandı.

YORUMLAR