Popüler “All in One” SEO WordPress eklentisindeki iki kritik ve yüksek önem dereceli güvenlik açığı, 3 milyondan fazla web sitesini saldırılarına maruz bıraktı. Automattic güvenlik araştırmacısı Marc Montpas tarafından keşfedilen ve rapor edilen güvenlik açıkları, kritik ayrıcalık yükseltme zafiyeti (CVE-2021-25036) ve yüksek önem derecesine SQL Enjeksiyonu (CVE-2021-25037) olarak açıklandı.
800.000’den fazla istismara açık WordPress sitesi
Eklentinin geliştiricisi, 7 Aralık 2021’de her iki All in One SEO hatayı gidermek için bir güvenlik güncellemesi yayınladı. Ancak, yamanın yayınlanmasından bu yana son iki haftanın indirme istatistiklerine göre, eklentiyi kullanan 820.000’den fazla site henüz eklentilerini güncellemedi ve hala saldırılara maruz kalıyor.
| Date | Downloads |
| 2021-12-07 | 336738 |
| 2021-12-08 | 1403672 |
| 2021-12-09 | 68941 |
| 2021-12-10 | 45392 |
| 2021-12-11 | 31346 |
| 2021-12-12 | 26677 |
| 2021-12-13 | 35666 |
| 2021-12-14 | 34938 |
| 2021-12-15 | 72301 |
| 2021-12-16 | 28672 |
| 2021-12-17 | 24699 |
| 2021-12-18 | 18774 |
| 2021-12-19 | 17972 |
| 2021-12-20 | 25388 |
| Total | 2171176 |
WordPress en kısa sürede güncellemeye çağırdı
“Bir saldırgan, .htaccess’de backdoors gizlemek ve sunucuda kötü amaçlı kod yürütmek için bu özelliği kötüye kullanabilir.”
Bu ciddi güvenlik açıklarından (4.0.0 ile 4.1.5.2 arasında) etkilenen All In One SEO sürümlerini kullanan ve 4.1.5.3 yamasını henüz yüklememiş olan WordPress sahiplerinin güncellemeleri vakit kaybetmeden yapmaları öneriliyor.
Kaynak: bleepingcomputer.com