Dünya'nın en çok kullanılan içerik yönetim sistemi Wordpress'te önemli bir güvenlik açığı tespit edildi.
Wordpress'in kendi geliştirdiği ve birçok önemli eklentide add_query_arg() ve remove_query_arg() fonksiyonlarının kullanılması tehlikeli bir XSS açığı oluşmasına neden oldu.
Bu basit fonksiyonların oluşturduğu güvenlik açığı JetPack, WordPress SEO,Google Analytics by Yoast, All In one SEO, Gravity Forms, WPTouch ve Ninja Forms gibi çok kullanılan eklentilerin de aralarında bulunduğu 17 eklentide tespit edildi.
Bu tehlikeli XSS açığı ilk olarak Yoast'ın kurucusu Joost de Valk tarafından tespit edildi. Eğer Wordpress kullanıyorsanız hemen admin panelinize hucüm edin ve kullandığınız eklentilerle ilgili bir güncelleştirme varsa hemen yapın eklentilerin çoğu yeni güncelleme yayınladı. Wordpress'te 22 Nisan'da bu açığı kapatmak için 4.1.2 güncellemesini yayınladı.
Şimdiye kadar tespit edilen 17 eklenti;
Jetpack
WordPress SEO
Google Analytics by Yoast
All In one SEO
Gravity Forms
Easy Digital Downloads
UpdraftPlus
WP-E-Commerce
WPTouch
Download Monitor
Related Posts for WordPress
My Calendar
P3 Profiler
Give
Broken-Link-Checker
Ninja Forms
Kaynak:
http://goo.gl/HfKZmH