Bu makale, iki popüler WordPress iletişim formu eklentisinde keşfedilen güvenlik açıkları hakkında bilgi vermektedir. Bu güvenlik açıkları, 1.1 milyondan fazla kurulumun etkilenebileceğini göstermektedir. Kullanıcılara, eklentilerini en son sürümlere güncellemeleri tavsiye edilmektedir.
Etkilenen iletişim formu eklentileri Ninja Forms (800.000’den fazla kurulum) ve Fluent Forms (300.000’den fazla kurulum) olarak belirtilmiştir. Bu güvenlik açıkları birbirinden bağımsız olup, farklı güvenlik kusurlarından kaynaklanmaktadır.
Ninja Forms, bir URL’nin kaçış karakteri kullanılmaması nedeniyle yansıtılmış çapraz site betikleme saldırısına (reflected XSS) maruz kalabilir. Bu saldırı, bir yöneticiyi bir bağlantıya tıklamaya ikna ederek yönetici seviyesindeki kullanıcı ayrıcalıklarını ele geçirmeye olanak tanır. Bu güvenlik açığı hala değerlendirme aşamasındadır ve henüz bir CVSS tehdit seviyesi puanı atanmış değildir.
Fluent Forms eklentisi ise yetersiz yetenek kontrolü nedeniyle yetkisiz API değişikliklerine izin verebilir. Bu güvenlik açığı, abone seviyesindeki yetkilendirmeyi elde eden bir saldırganın, Mailchimp API anahtarını değiştirmesine olanak tanır. Bu güvenlik açığı, 4.2 (1-10 ölçeğinde) orta tehdit seviyesi puanı almıştır.
Pazarlama ile ilgili işler yapan kişiler için bu makale önemlidir çünkü güvenlik açıkları, müşteri verilerinin ve iletişim bilgilerinin tehlikeye girmesine neden olabilir. Bu tür güvenlik açıkları, müşteri güvenini sarsabilir ve itibar kaybına yol açabilir. Bu nedenle, pazarlama profesyonelleri, kullandıkları eklentilerin güncel olduğundan emin olmalı ve güvenlik açıklarına karşı proaktif önlemler almalıdır.
Önerilen Eylem: Her iki iletişim formu eklentisinin kullanıcılarına, eklentilerini en son sürümlere güncellemeleri tavsiye edilmektedir. Fluent Forms eklentisinin en son sürümü 5.2.0, Ninja Forms eklentisinin en son sürümü ise 3.8.14’tür.
Kaynak: https://www.searchenginejournal.com/wordpress-contact-form-vulnerabilities/526057/
