WooCommerce’taki XSS açığı kapatıldı

WordPress için geliştirilen en popüler e-ticaret eklentileri arasında yer alan WooCommerce, düzenli aralıklarla açıkların yamalandığı güncellemelerle daha da güvenlik bir eklenti haline geliyor. Geçtiğimiz hafta yayınlanan son güncellemede kötü niyetli saldırganların WooCommerce’taki XSS açığından faydalanmasını mümkün kılan açık kapatıldı.

Hollandalı güvenlik firması Securify’nin kurucusu Han Sahin, WooCommerce eklentisinde cross-site scripting olarak bilinen XSS açığının yer aldığını keşfetti.

İçinde zararlı JavaScript kodlarının yer aldığı bir dökümanı .JPG gibi dosya uzantılarına dönüştürüp WooCommerce eklentisi aracılığıyla siteye yüklemeyi başaran Sahin, art niyetli hackerların diğer tüm ziyaretçilerin oturum anahtarlarını ve giriş bilgilerini çalabileceğini fark etti.

WooCommerce geliştirici ekibine bildirilen bu açık, hafta içinde yayınlanan 2.6.3 numaralı sürümde kapatıldı. Söz konusu açığın jQuery ile geliştirilen fotoğraf görüntüleme eklentisi prettyPhoto’dan kaynaklandığı ibaresi de güncelleme kayıtlarına not düşüldü.

WooCommerce, geçtiğimiz WordPress.com’un arkasındaki Automattic tarafından satın alınmıştı. Eklenti halen daha bir milyondan fazla web sitesinde kullanılıyor.

Müşterilerin kredi kartı bilgilerini çalmak isteyen hackerlar, e-ticaret sitelerindeki sipariş sayfalarının birebir aynısını oluşturarak kullanıcıları kandırmayı hedefliyor. XSS gibi açıklarla sitenin kaynak kodlarına erişim izni alan siber suçlular, sipariş onay sayfasına kendi yerleştirdikleri kodu çalıştırarak müşterilerin tüm kişisel bilgilerini elde edebiliyor.

WooCommerce’daki bu XSS açığı, WordPress’in de desteklediği Summer of Pwnage isimli hacker etkinliğinde yakalanan açıklardan yalnızca birisi. Dünyanın dört bir yanından etkinliğe katılan iyi niyetli hackerlar, WordPress’in çekirdeğinde ve popüler eklentilerde bulunan 61 açığı da yakalamayı başarmıştı.

Yorum Yaz

This site uses Akismet to reduce spam. Learn how your comment data is processed.