Wordfence ekibinin yaptığı açıklamaya göre Contact Form 7 eklentisine ek olan Contact Form 7 Style eklentisinde bir XSS açığı tespit edilmiş. 50 bin'e yakın site bu durumdan etkileniyor. Sizde sitenizde bu eklentiyi kullanıyorsanız mutlaka kaldırmalısınız
Contact Form 7 Style, WordPress için en popüler eklentilerden biri olan Contact Form 7 ile oluşturulan formlara ek stiller eklemek için kullanılabilecek bir eklentidir. İletişim Formu 7 Stili, işlevselliğinin bir parçası olarak, kullanıcıların İletişim Formu 7 ile hazırlanmış iletişim formlarının görünümünü özelleştirmek için Basamaklı Stil Sayfaları (CSS) kodunu özelleştirmelerine olanak tanır.
Bu özelliğin temizliğinin olmaması ve nonce korumanın olmaması nedeniyle, bir saldırgan, eklentiyi kullanarak bir siteye kötü amaçlı JavaScript enjekte etmek için bir istek oluşturabilir. Bir saldırgan, bir sitenin yöneticisini bir bağlantıya veya eke tıklaması için başarılı bir şekilde kandırdıysa, istek gönderilebilir ve CSS ayarları kötü amaçlı JavaScript içerecek şekilde başarıyla güncellenebilir.
Kendimi nasıl koruyabilirim?
Contact Form 7 Style eklentisini devre dışı bırakmanızı ve kaldırmanızı ve bir yedek bulmanızı şiddetle tavsiye ediyoruz, çünkü bu eklenti öngörülebilir gelecekte yamalanmayacaktır. Yeni bir eklenti bulana kadar eklentiyi sitenizde yüklü tutmanız gerekiyorsa ve Wordfence Web Uygulaması Güvenlik Duvarını çalıştırıyorsanız, yeni bir yer ararken sitenizin bu güvenlik açığını hedefleyen her türlü istismara karşı korunacağından emin olabilirsiniz.
Contact Form 7 Style, WordPress için en popüler eklentilerden biri olan Contact Form 7 ile oluşturulan formlara ek stiller eklemek için kullanılabilecek bir eklentidir. İletişim Formu 7 Stili, işlevselliğinin bir parçası olarak, kullanıcıların İletişim Formu 7 ile hazırlanmış iletişim formlarının görünümünü özelleştirmek için Basamaklı Stil Sayfaları (CSS) kodunu özelleştirmelerine olanak tanır.
Bu özelliğin temizliğinin olmaması ve nonce korumanın olmaması nedeniyle, bir saldırgan, eklentiyi kullanarak bir siteye kötü amaçlı JavaScript enjekte etmek için bir istek oluşturabilir. Bir saldırgan, bir sitenin yöneticisini bir bağlantıya veya eke tıklaması için başarılı bir şekilde kandırdıysa, istek gönderilebilir ve CSS ayarları kötü amaçlı JavaScript içerecek şekilde başarıyla güncellenebilir.
Kendimi nasıl koruyabilirim?
Contact Form 7 Style eklentisini devre dışı bırakmanızı ve kaldırmanızı ve bir yedek bulmanızı şiddetle tavsiye ediyoruz, çünkü bu eklenti öngörülebilir gelecekte yamalanmayacaktır. Yeni bir eklenti bulana kadar eklentiyi sitenizde yüklü tutmanız gerekiyorsa ve Wordfence Web Uygulaması Güvenlik Duvarını çalıştırıyorsanız, yeni bir yer ararken sitenizin bu güvenlik açığını hedefleyen her türlü istismara karşı korunacağından emin olabilirsiniz.