İnternet, bilgi, bilişim güvenliğine dair her türlü karalamalara sahiplik yapan kişisel bir blog.

W3 Total Cache eklentisi tehlike saçıyor!

W3 Total Cache eklentisi tehlike saçıyor!En popüler blog platformlarından olan WordPress’te, kullanıcılar entegre servislerden ihtiyacı olan fonksiyonları karşılayamadığında genelde üçüncü taraf geliştiriciler tarafından hazırlanan eklentileri kullanıyor. Ancak bu eklentiler de zaman zaman saldırılara açık olabiliyor. Bir araştırmacı tarafından ortaya çıkarılan bir açık, WordPress bloglarında kullanılan W3 Total Cache – W3TC eklentisi içerisinde bulunuyor ve bu sayede şifre öbekleri ve veritabanı önbellek anahtarları gibi hassas bilgilere erişilebiliyor. W3TC eklentisi blogların daha hızlı açılmasını sağlamak için içerikleri önbellekliyor ve bunları da benzer şekilde aranabilir yapıda depoluyor. Bu bakımdan herhangi bir dizine ulaşmak kolaylaşıyor.

W3TC geliştiricisi bir açıklama yaparak açığı en kısa sürede kapatacağını belirtti. Açıktan WordPress’in tüm sürümleri etkileniyor. Bu eklentinin kullanıcılarına ise bir yama gelene kadar eklentiyi devre dışı bırakmaları tavsiye ediliyor. Dünya çapında milyonlarca kullanıcısı olan WordPress platformu bu bakımdan hacker’ların da bir numaralı hedefi haline geliyor.

Açık nerede ?

Eklentisinin kullanmış olduğu dizine önbellekleme yaparken aynı zamanda kullanıcı adı ve şifresini de önbellek içerisine alıyor.

Bknz : wp-content/w3tc/dbcache/

Mustafa

2004 yılından bu yana Web ve Bilgi Güvenliği üzerine araştırmalarda bulundum. Çok sayıda yerli yada yabancı websitelerinde bulunan zaafiyetleri ilgililere göndererek kapatılmasını sağladım. Octosec ailesindenim. Siber Güvenlik Eylem Planı kapsamında TSE Kayıtlı Sızma Uzmanı sertifikam bulunmaktadır.

Leave a Reply