WP Go Maps WordPress eklentisinde önemli bir güvenlik açığı tespit edildi ve tahmini 300.000 web sitesini etkiliyor. Bu kritik açık, en düşük Abone düzeyinde erişime sahip kimliği doğrulanmış saldırganların bile genel harita motoru ayarlarını değiştirmesine olanak tanıyarak, haritaların bir sitede çalışma şeklini potansiyel olarak bozabilir. Site sahiplerinin bu ciddi güvenlik riskini gidermek için eklentilerini derhal güncellemeleri şiddetle tavsiye edilir.

WP Go Maps Eklentisi Hakkında

WP Go Maps eklentisi, özellikle yerel işletmeler tarafından WordPress sitelerinde sayfalarına ve gönderilerine özelleştirilebilir haritalar eklemek için yaygın olarak kullanılmaktadır. Bu haritalar, iletişim konumlarını görüntülemek, teslimat alanlarını tanımlamak veya mağaza şubelerini vurgulamak için hayati öneme sahiptir ve site sahiplerinin kodlama uzmanlığı gerektirmeden işaretçileri ve ayarları yönetmelerine olanak tanır.

Güvenlik Açığını Anlamak

Güvenlik açığının özü, eklentinin processBackgroundAction() işlevinde eksik bir yetenek kontrolünde yatmaktadır. WordPress güvenliğinde, yetenek kontrolleri, oturum açmış bir kullanıcının belirli bir eylemi gerçekleştirmek için gerekli izinlere sahip olduğunu doğrulamak için hayati öneme sahiptir. Bu kontrolün olmaması nedeniyle, işlev, eklenti ayarlarını değiştirme yetkisine sahip olmaması gereken kullanıcılardan gelen istekleri yanlışlıkla işler.

Sonuç olarak, temel Abone düzeyinde kimlik bilgilerine sahip kimliği doğrulanmış bir saldırgan, bu açığı kullanarak genel harita motoru ayarlarını değiştirebilir. Bu ayarlar site genelindedir, yani herhangi bir değişiklik eklentinin tüm web sitesindeki işlevselliğini etkileyecektir. Önde gelen bir WordPress güvenlik firması olan Wordfence, bunu yetkisiz veri değişikliği olarak tanımlayarak, düşük ayrıcalıklı kullanıcıların genellikle yöneticilere ayrılmış kritik ayarları manipüle etmesine olanak tanıdığını belirtti.

Resmi Wordfence uyarısı daha fazla ayrıntı sağlayarak şunları belirtiyor: “WordPress için WP Go Maps (eski adıyla WP Google Maps) eklentisi, 10.0.04 dahil tüm sürümlerde processBackgroundAction() işlevinde eksik bir yetenek kontrolü nedeniyle yetkisiz veri değişikliğine karşı savunmasızdır. Bu durum, Abone düzeyinde ve üzeri erişime sahip kimliği doğrulanmış saldırganların genel harita motoru ayarlarını değiştirmesini mümkün kılar.”

Güvenlik Açıklarının Tarihçesi

WP Go Maps eklentisi popüler bir araç olsa da, geçmişte güvenlik sorunlarıyla karşılaştı. Eklentinin, 2019'dan bu yana uzanan son yıllarda bildirilen, 2024'te tespit edilen çok sayıda açık ve önceki yıllardaki diğerleri de dahil olmak üzere bir güvenlik açıkları geçmişi bulunmaktadır.

Etkilenen Sürümler ve Çözüm

Bu güvenlik açığı, WP Go Maps eklentisinin 10.0.04 dahil tüm sürümlerini etkilemektedir. Abone kaydı etkin olan etkilenen bir sürümü çalıştıran herhangi bir web sitesi risk altındadır. Neyse ki, bir yama yayınlandı. Site sahiplerinin, sitelerini bu açıktan korumak için WP Go Maps eklentilerini derhal 10.0.05 veya daha yeni bir sürüme güncellemeleri şiddetle tavsiye edilir.