WordPress’in en popüler iletişim formu eklentilerinden biri olan Contact Form 7’de, kritik bir güvenlik açığı tespit edildi. Contact Form 7 eklentisini kullanan 5 milyon site, bu sebeple tehdit altında.
Bu güvenlik açığı, hackerların sitenize kötü amaçlı komut dosyaları yüklemesine olanak sağlıyor. Contact 7 yapımcıları, bu açığı gidermek için hemen bir güncelleme yayınladı.
Contact Form 7 Güvenlik Açığı
Güvenlik açığının detayına inelim. Contact Form 7’deki güvenlik açığı, kısıtlanmamış dosya yükleme güvenlik açığı olarak isimlendiriliyor. Hackerlar, bu açığa sahip eklentiyi kullanarak shell dosyaları yükleyebiliyorlar.
Savunmasız sitelere yüklenen shell dosyaları; sitede erişim elde etmek, sitenin veritabanına sızmak gibi amaçlar için yazılmış kötü amaçlı dosyalardır.
Eklenti yapımcıları ise açık ile ilgili şu açıklamayı yaptı:
Contact Form 7 5.3.1 ve daha eski sürümlerinde, kısıtlanmamış dosya yükleme güvenlik açığı tespit edildi. Bir form göndericisi, Contact Form 7’nin dosya adı temizleme aşamasını atlayabilir ve sunucuya kötü amaçlı dosya yükleyebilir.
Bu açıklamanın detayları, Contact Form 7’nin eklenti sayfasında yayınlandı. Açıklamaya ek olarak, yeni güncellemenin detayları da paylaşıldı:
Kısıtlanmamış dosya yükleme güvenlik açığını gidermek için, dosya adından denetimi ve diğer özel karakter türlerini kaldırır.
Eklenti sayfasında şu şekilde göreceksiniz:
Dosya Adı Temizleme İşlemi Nedir ?
Peki, Contact 7 resmi açıklamasında da geçen dosya adı temizleme nedir ? Çok kısa bundan da bahsetmek istiyorum.
Dosya Adı Temizleme, yüklemeleri sağlayan komut dosyalarıyla ilgili işleve sahip bir fonksiyondur. Dosya adı temizleme işlevleri; belirli türdeki dosyaları kısıtlayarak, hangi tür dosyaların siteye yükleneceğini denetlemek için tasarlanmıştır. Dosya adı temizleme fonksiyonu, dosya yolları üzerinde de kontrole sahiptir.
Bir dosya adı temizleme fonksiyonu, belirli dosya adlarını engelleyerek ya da belirli dosya adlarına izin vererek çalışır. Bu da her dosyanın sitenize yüklenemeyeceği anlamına gelir, tabii dosya adı temizleme işlemi doğru çalışırsa.
Contact Form 7 açığında, dosya adı temizleme fonksiyonu doğru çalışmıyordu. Doğru çalışmadığı için, tehlikeli dosya adlarına izin verilmiş oldu. Bu da kötü niyetli kişiler için davetiye niteliğindeydi.
Bu açık ilk olarak Astra isimli bir web güvenlik şirketinde keşfedildi. Keşfedildikten hemen sonra güvenlik güncellemesi yayınlandı. Umarım hiçbir site bu açıktan kötü etkilenmemiştir.
Bu açık ile birlikte, WordPress altyapılı sitelerde güvenliğin önemini bir kez daha anladık. WordPress güvenlik önlemleri makaleme göz atarak, WordPress sitenizin güvenliğinizi sağlamlaştırabilirsiniz.
