Bugün, Ninja Forms adlı popüler WordPress iletişim formunun 1 milyondan fazla WordPress kurulumunu etkileyen iki güvenlik açığını yamaladığı açıklandı. Bu, birçok WordPress eklentisi arasında keşfedilen, büyüyen REST API ile ilgili güvenlik açıkları listesindeki bir diğerini temsil ediyor. WordPress REST API’sinin kendisinde yanlış bir şey olmadığı tekrarlanmalıdır. Sorunlar, WordPress eklentilerinin REST API ile etkileşimlerini nasıl tasarladıklarından kaynaklanmaktadır.
WordPress REST API’si
WordPress REST API, eklentilerin WordPress çekirdeği ile etkileşime girmesine izin veren bir arayüzdür. REST API, eklentilerin, temaların ve diğer uygulamaların WordPress içeriğini değiştirmesine ve etkileşimli işlevler oluşturmasına olanak tanır. Bu teknoloji, WordPress çekirdeğinin yapabileceklerini genişletir. WordPress çekirdeği, bu yeni deneyimleri gerçekleştirmek için eklentilerden REST API arayüzü aracılığıyla veri alır. Ancak, verilerin yüklenmesine veya girilmesine izin veren diğer etkileşimler gibi, verilerin beklenen ve alınacak şekilde tasarlandığından emin olmak için neyin girildiğini ve kimin giriş yapabileceğini “temizlemek” önemlidir. Girişlerin temizlenmemesi ve verileri kimlerin girebileceğini kısıtlamamak, güvenlik açıklarına yol açabilir. Ve burada olan da tam olarak buydu.
İzinlerde Geri Arama Güvenlik Açığı
İki güvenlik açığı, özellikle İzin Geri Aramalarında tek bir REST API doğrulama sorununun sonucuydu. İzinleri geri çağırma, REST API Uç Noktalarına erişimi yetkili kullanıcılarla kısıtlayan kimlik doğrulama sürecinin bir parçasıdır. Resmi WordPress belgeleri , bir uç noktayı bir işlev olarak tanımlar :
“Uç noktalar, API aracılığıyla kullanılabilen işlevlerdir. Bu, API dizinini almak, bir gönderiyi güncellemek veya bir yorumu silmek gibi şeyler olabilir. Uç noktalar belirli bir işlevi yerine getirir, bazı parametreler alır ve istemciye veri döndürür.”
WordPress REST API belgelerine göre:
İzin geri aramaları, WordPress REST API ile güvenlik için son derece önemlidir. Herkese açık olarak gösterilmemesi gereken özel verileriniz varsa, uç noktalarınız için kayıtlı geri arama izinlerine sahip olmanız gerekir.
İki WordPress Ninja Forms Güvenlik Açığı
Her ikisi de uygulamada bir izin geri çağırma hatasıyla ilgili olan iki güvenlik açığı vardı. WordPress REST API’sinin kendisinde yanlış bir şey yoktur, ancak eklenti üreticilerinin bunu nasıl uyguladığı sorunlara yol açabilir.
Hassas Bilgilerin İfşa Edilmesi Güvenlik Açığı
Hassas Bilgi İfşası güvenlik açığı, kayıtlı herhangi bir kullanıcının, hatta bir abonenin, web sitesine gönderilen her formu dışa aktarmasına izin verdi. Bu, birinin göndermiş olabileceği tüm gizli bilgileri içerir. Ninja Forms, bir kullanıcının kayıtlı olup olmadığını kontrol eden bir izin geri çağrısına sahipti, ancak kullanıcının Ninja Forms WordPress eklentisi aracılığıyla gönderilen tüm formların toplu dışa aktarımını yürütmek için uygun bir izin düzeyine sahip olup olmadığını kontrol etmedi. Kullanıcının izin düzeyinin kontrol edilmemesi, bir web sitesi abonesi de dahil olmak üzere kayıtlı herhangi bir kullanıcının gönderilen tüm formların toplu dışa aktarımını gerçekleştirmesine izin veren şeydir.
E-posta Enjeksiyonuna Korumasız REST-API
Bu güvenlik açığı, kayıtlı saldırganın izin düzeyini kontrol edemeyen aynı hatalı izin geri aramasından kaynaklanıyordu. Güvenlik açığı, web sitesi yayıncılarının form gönderimlerine yanıt olarak toplu e-posta bildirimleri veya e-posta onayları göndermesine olanak tanıyan bir Ninja Forms işlevinden yararlandı. E-posta Enjeksiyonu güvenlik açığı, bir saldırganın, savunmasız web sitesinden herhangi bir e-posta adresine e-posta göndermek için bu belirli Ninja Forms işlevini kullanmasına izin verdi. Bu özel güvenlik açığı, bir web sitesinin müşterilerine karşı tam bir site devralma veya kimlik avı kampanyası başlatma olanağına sahipti.
Güvenlik açığını keşfeden Wordfence’deki güvenlik araştırmacılarına göre:
“Bu güvenlik açığı, e-postayı göndermek için kullanılan etki alanındaki güveni kötüye kullanarak, şüpheli olmayan kullanıcıları istenmeyen eylemler gerçekleştirmeye kandırabilecek bir kimlik avı kampanyası oluşturmak için kolayca kullanılabilir. Ayrıca, bir site sahibini bir e-postanın kendi sitesinden geldiğine inandırmak için daha hedefli bir mızrak phishing saldırısı kullanılabilir. Bu, bir yöneticiyi sahte bir oturum açma sayfasında parolasını girmesi için kandırmak veya bir saldırganın Siteler Arası İstek Sahteciliği veya Siteler Arası Komut Dosyası Çalıştırma gibi sosyal mühendislik gerektiren ikinci bir güvenlik açığından yararlanmasına izin vermek için kullanılabilir. site devralma için.”
Önerilen Ninja Formlarına Acil Güncelleme
Güvenlik araştırmacıları Wordfence, WordPress Ninja Forms eklentisi kullanıcılarının eklentilerini hemen güncellemelerini önerir. Güvenlik açığı, orta düzeyde bir tehlike olarak derecelendirildi ve 1 ila 10 arasında bir ölçekte 6.5 puan aldı.
WordPress Ninja’nın Oluşturduğu Güvenlik Açığı 1 Milyondan Fazla Siteyi Etkiledi