CVE-2024-52443 Geolocator
Geolocator wordpress eklentisidir. Eklenti gelen ziyaretcilerin ip adreslerine(lokasyonuna) gore icerik gosterip gizleyebileceginiz ozellik sunar. wordfence adresinde bildirilmis. Eklenti:https://wordpress.org/plugins/geolocator/
PHP Object Injection
Guvenli olmayan veya kullanici tarafindan degistirilebilen unserialize() fonksiyonunun kullanimindan kaynakli guvenlik aciklari.
Unserialize
geolocator_location cookie adi var mi kontrol ediyor eger varsa unserialize ediyor stripslashes fonksiyonu sadece ters slashlari siliyor ornek abc\\'test => abc'test else kismi ile isimiz yok unserialize ile ilgileniyoruz.
Sql Injection
Unserialize fonksiyonunu inceledik cookie ile direk bizden veri alabiliyor. Sql injection kismina bakalim geolocator_country() kismi, koda ilk bakista eger ek bir kosul vs yoksa ve kullanici ile etkilesime giriyorsa en basit sql injection acigi mevcut.