Salesforce.com firmasının ürün güvenlik ekibinden araştırmacı Nir Goldshlager, WordPress ve Drupal tabanlı web sitelerini çökertebilecek bir XML kod açığını keşfetti. “XML Quadratic Blowup Attack” ismi verilen kod açığı sadece bir web sitesini değil, o sitenin barındırıldığı sunucuyu bile çökertebilecek kadar tehlikeli.

Milyonlarca web sitesi tarafından kullanınan popüler WordPress ve Drupal altyapısı devamlı güncelleniyor ve mutlaka son sürümü kullanıyor olmak, güvenlik ve performans devamlılığı açısından çok önemli. Web standartlarını belirleyen World Wide Web Consortium (W3C) organizasyonunun verdiği bilgiye göre, web üzerindeki tüm sitelerin yaklaşık %23’ü WordPress altyapısı kullanıyor.

GoldShlager’in keşfettiği XML kod açığı WordPress’in 3.5’den 3.9’a kadarki tüm versiyonlarını etkiliyor. Ayrıca Drupal’in 6.x’den 7.x’e kadarki tüm versiyonlarında da aynı tehlike sözkonusu. Neyse ki iki firma da sistemleri için güvenlik yaması yayınladı. Kullanıcıların ve web sitesi sahiplerinin acilen yeni yamayı güncellemeleri tavsiye ediliyor.

XML Quadratic Blowup Attack isimli kod açığı, çok küçük bir XML dosyasını bile, özel bir karakteri tekrarlayarak devasa boyutlara taşıyabiliyor. Bu XML’i kullanan web sitesi dosyayı çalıştırmaya kalkınca, sunucun gigabytelarca belleği bile yeterli gelmiyor ve hem site, hem de sunucu kilitleniyor. 200 KB büyüklüğünde bir XML dosyası, bu saldırıdan sonra 2.5 GB büyüklüğe çıkabiliyor.