WordPress eklentisi Ninja Forms, barındırdığı dört büyük hata ile 1 milyon siteyi etkilemiş durumda.
WordPress için Ninja Forms eklentisinde tespit edilen hatalar 1 milyondan fazla siteyi tehdit ediyor. Eğer eklenti için gerekli yama uygulanmazsa sitelerin tamamen ele geçirilmesi bile olasılık dahilinde. Bu arada bilmeyenler için Ninja Forms’un site sahiplerinin basit bir sürükle ve bırak arayüzü kullanarak iletişim formları oluşturmasına izin veren popüler bir eklenti olduğunu not olarak düşelim.
Ninja Forms WordPress eklentisindeki hatalar sebebiyle saldırganların yapabilecekleri ise oldukça can sıkıcı. Bunlar arasında; site yöneticilerini rastgele konumlara yönlendirme, tüm posta trafiğini engellemek için kullanılabilecek bir eklenti kurma, Ninja Forms merkezi yönetim panosu ile bağlantı kurmak için kullanılan Ninja Formu OAuth Bağlantı Anahtarını alma ve site yöneticilerini bir sitenin OAuth Bağlantısını kesebilecek bir eylemi gerçekleştirmesi için kandırma gibi başlıklar söz konusu.
Bu güvenlik açıkları, saldırganların bir sitenin kontrolünü ele geçirmesine ve herhangi bir sayıda kötü amaçlı eylem gerçekleştirmesine neden olabilecek nitelikte. Saldırganların açıklardan yararlanmasını önlemek içinse eklentinin en kısa zamanda güncellenmesi öneriliyor. 8 Şubat itibarıyla tüm güvenlik açıklarının Ninja Forms eklentisinin 3.4.34.1 sürümünde yamalandığını belirtelim.
WordPress Otomatik Güncelleme Özelliği kullanılmalı mı diyenler ise makalemize bir göz atabilir.
