Yoast SEO 9.1 Güvenlik Açığı Açıklandı

0

20 Kasım 2018’de Yoast, bir güvenlik açığını gidermek için güncelleştirme yayımladı. Bu güncelleme, Yoast bloğunda açıklanmadı.

Bu güvenlik açığı yalnızca SEO Yöneticisi rolünün etkinleştirilmiş kullanıcılarını etkiler. Yoast SEO’nun tüm kullanıcılarını etkilemez.

Bununla birlikte, Yoast kullanıcılarının% 77’si, 9.2 sürümüne geçmemiştir ve bu güvenlik açığından habersiz olabilir.

Yoast güvenlik açığı hakkında

Bir güvenlik uzmanı, güvenlik açığını (Yarış Koşulu olarak adlandırılır) keşfetti ve Yoast ile güvenlik topluluğunu uyardı. Yoast hemen harekete geçti güvenlik açığını düzeltti.

Bu güvenlik açığı, yarış durumu savunmasızlığı olarak adlandırılan karmaşık bir sorundu.
Temel olarak, bir yazılımın bir işlemin belirli bir sırada gerçekleşmesini beklediği bir durumdur. Güvenlik açığı, bu sıra değiştiğinde gerçekleşir. Bu, bir saldırının gerçekleşebileceği bir açıklığa neden olur. TechTarget böyle bir Yarış Koşulu’nu  şu şekilde tanımlıyor:

“Bir yarış koşulu, bir aygıt veya sistem aynı anda iki veya daha fazla işlem gerçekleştirmeye çalıştığında, ancak aygıtın veya sistemin doğası gereği, işlemlerin doğru sırada yapılması gerektiğinde ortaya çıkan istenmeyen bir durumdur.

Yoast güvenlik açığı web sitelerini nasıl etkiler?

Yoast 9.1’deki güvenlik açığı, bir web sitesinin Yoast SEO Yöneticisi rolünün etkinleştirilmiş olmasını gerektirir. Bu nedenle bu güvenlik açığı tüm kullanıcıları etkilemez.

Bu Yoast’ın hangi versiyonlarını etkiliyor?

Yoaster sürüm 9.1 ve altında SEO Yöneticisi rolünün etkilendiği bildiriliyor. Güvenlik açığını keşfeden güvenlik araştırmacısı şunları söyledi:
“Yoast 9.1 ve 9.0.3 ile test ettim.”

Yoast 9.1 güvenlik açığı nasıl çalışır?

Güvenlik araştırmacısına, güvenlik açığının nasıl çalıştığı ve saldırganın Yoast yüklemelerini SEO Yöneticisi rolünü etkin hale getirip kod yürütme açıklamasının gerçekleştirebileceğini sorulduğunda şöyle dedi: “SEO Yöneticisi ile olan şey, bu rolün WordPress’e eklenti, temalar vb. yükleyememesidir, ancak saldırgan komut yürütme işlemini gerçekleştirebilir.”

Komut yürütmenin amacı, web sitesinde istenmeyen değişiklikler yapmaktır.

Bu SEO Yöneticisi rolü etkin olmadan siteleri etkiler mi?

SEO Yöneticisi rolüne sahip olmayan sitelerin savunmasız olup olmadığı güvenlik araştırmacısına soruldu. Rol etkinleştirilmediyse bunun nedeni ile saldırıya uğrama olasılığının zor olduğunu söyledi. SEO Yöneticisi rolünün etkin olmasının olasılığı yükselteceğini söyledi.

“SEO Yöneticiniz yoksa ve zip arşivi sadece bir WordPress yöneticisi tarafından yüklenebilirse etki çok düşüktür.”

 

CEVAP VER

Please enter your comment!
Please enter your name here