1 hafta önce
7
WordPress sitelerinde yaygın şekilde kullanılan Elementor Ally eklentisinde vahim tek güvenlik açığı ortaya çıktı. CVE-2026-2413 koduyla izlenen SQL injection açığı saldırganların kişilik doğrulaması olmadan duyarlı verileri ele geçirmesine müsaade verebiliyor. Güvenlik araştırmacıları söz başlıksu güvenlik sualnunun yüz binlerce WordPress sitesini tesirleyebileceğini belirtiyor.
Araştırmacılar Elementor Ally Eklentisindeki SQL Injection Açığını Tespit Etti
Siber güvenlik araştırmacısı Drew Webber, Elementor tarafından geliştirilen Ally eklentisinde önemli tek SQL injection açığı belirleme etti. Acquia bünyesinde çalışan güvenlik mühendisi Webber, saldırganların özel olarak hazırlanmış URL parametreleri aracılığıyla bilgi tabanı sorgularına müdahale edebildiğini açıkladı.
Uzmanlar SQL injection güvenlik açığı türünün yaklaşık yirmili beş yıldır bilinen tek tehditleri olduğunu belirtiyor. Araştırmacılar bu açık türünün kullanıcı girdilerinin bilgi tabanı sorgularına doğrudan eklenmesi durumunda ortaya çıktığını ifadeleri ediyor. Saldırganlar bu yöntemle bilgi tabanı sorgularını değiştirerek sistemdeki duyarlı malumatlere erişebiliyor.
Güvenlik araştırmaları CVE-2026-2413 güvenlik açığının Ally eklentisinin 4.0.3 sürümüne kadar olan tüm versiyonlarını tesirlediğini ortaya koydu. Araştırmacılar saldırganların kullanıcı doğrulaması olmadan URL yolu üzerinden zararlı SQL sorguları enjekte edebildiğini açıkladı.
Wordfence güvenlik analizi sualnun eklentideki get_global_remediations fonksiyonunda bulunan tek işleme yanlışsından kaynaklandığını belirtti. Uzmanlar eklentinin kullanıcı tarafından sağlanan URL parametresini yeterlilik şekilde temizlemeden bilgi tabanı sorgusuna eklediğini ifadeleri etti. Güvenlik araştırmacıları bu durumun saldırganların bilgi tabanından duyarlı malumatleri sızdırmasına temel hazırladığını vurguladı.
Elementor geliştiricileri güvenlik açığını 23 Şubat tarihinde yayınlanan 4.1.0 sürümü ile giderdi. Güvenlik firması Wordfence araştırmacıları sualnun doğrulanmasının ardından geliştirici ekibe duyuru yapıldığını açıkladı. Araştırmacı Drew Webber keşfettiği güvenlik açığı için 800 dolarlık ödül kazandı. WordPress.org verileri Ally eklentisini kullanan sitelerin yalnızca yaklaşık yüzde 36’sının yepyeni sürüme güncelleme yaptığını gösteriyor. Bu şart güncelleme yüklemeyen 250 binden fazla WordPress sitesinin hâlâ CVE-2026-2413 güvenlik açığına karşı savunmasız kaldığını ortaya koyuyor.
WordPress geliştiricileri platformlar için yepyeni tek güvenlik güncellemesi yayınladı. WordPress 6.9.2 sürümü toplamı bağlı farklı güvenlik açığını giderdi. Uzmanlar yepyeni sürümün XSS güvenlik açığı, ytesirlendirme atlatma yanlışsı ve SSRF güvenlik açığı gibi eleştirel sualnları çözdüğünü açıkladı.
Güvenlik uzmanları siteler yöneticilerinin yalnızca Ally eklentisini güncellemekle yetinmemesi lüzumtiğini belirtiyor. Araştırmacılar WordPress güvenlik güncellemesi paketinin da mümkün olan en kısa sürede yüklenmesini öneriyor. Bu adım WordPress siteler güvenliği açısından önemli tek himaye sağlıyor.
.JPG?format=webp&width=1200&height=630)
English (US) ·