WordPress’in Akismet eklentisinin geliştiricileri bir güncelleme yayınlayarak önemli bir açığı kapattıklarını duyurdu.
WordPress.com platformunun geliştiricisi olan Automattic’in geliştirdiği Akismet eklentisi, blog’lare gelen yorumlara spam kontrolü yapan ve yöneticinin de bu yorumları ve spam’leri kontrol edebilmesini sağlayan oldukça pratik ve yaygın bir eklenti.
Araştırmacılara göre bu ayın başında keşfedilen bu açık, saldırganların blogların yorum kısmına özel bir giriş yaparak WordPress admin paneline erişebilmelerine imkan tanıyordu. Bazı sistemler sayesinde bu gibi özel girişlerin (kod parçalarının) sisteme girişi engellenebilirken, “:-)” ve “:-P” gibi emojilerin görsellere dönüştürülmesini sağlayan ve her blog’da aktif olarak gelen bir WordPress özelliği sayesinde bu sistemleri de aşmak mümkün.
Uzmanlara göre bu açık Akismet 3.1.4 ve daha önceki sürümleri etkiliyor. Geliştiriciler ise 3.1.5 sürümü ile bu açığı kapatmayı başarmışlar.
Akismet eklentisi şu anda 1 milyondan fazla WordPress web sitesinde çalışıyor ve saldırganlar için büyük bir pazar oluşturuyor. WordPress.org’daki blog’larda Akismet eklentisi otomatik olarak güncellenmiş olsa da, WordPress blog’unu kendi yönetenler için güncellemenin en kısa zamanda yüklenmesi gerekiyor.
Ancak yine de güncellemeyi henüz yüklememişler için comment-check API çağrısı sırasında saldırı teşebbüsleri otomatik olarak bloklanıyor.
Bu açığı kullananları engellemek için adımlar atılmış ve henüz şimdiye kadar etkilenen bir blog rapor edilmemiş olsa da, elbette güncellemenin yapılarak Akismet’in 3.1.5’e yükseltilmesi tavsiye ediliyor.