آسیبپذیری در افزونهی وردپرس باعث در دست گرفتن کنترل سایت توسط هکرها میشود
اقتصاد
بزرگنمايي:
راه ترقی - آسیبپذیری خطرناکی در افزونهی معروف Simple Social Buttons در سیستم مدیریت محتوا Wordpress کشف شده است که این افزونه بر روی بیش از 40 هزار سایت وردپرس نصب شده است.
مدیران سایت که از سیستم مدیریت محتوا وردپرس استفاده میکنند و افزونهی Simple Social Buttons جهت به اشتراکگذاری مطالب سایت خود در شبکههای اجتماعی بر روی وردپرس نصب کردهاند، باید سریعاً اقدام به بهروز رسانی این افزونه نمایند، چراکه آسیبپذیری کشف شده در آن موجب گرفتن کنترل سایت توسط نفوذگرها خواهد شد. لوکا شیکیچ (Luka Šikić) توسعهدهنده و محقق امنیت سامانههای وردپرس در WebARX هفتهی گذشته آسیبپذیری بر روی افزونه Simple Social Buttons را کشف و به نویسندگان آن اطلاع داده و در روز 11 فوریه گزارشی درباره این آسیبپذیری منتشر کرده است. در این گزارش میبینیم که طراحی نامناسب افزونه باعث عدم بررسی مجوز دسترسی در آن شده و این خود راهی را برای نفوذ هکرها به سیستم وردپرس فراهم میآورد. او میگوید در صورتی که هکر بتواند یک حساب کاربری جدید بر روی سایت بسازد، توانایی اکسپلویت کردن این آسیبپذیری و اعمال تغییرات بر روی تنظیمات اصلی سایت وردپرس، خارج از محدودهی دسترسی تنظیمات خود افزونه را خواهد داشت. این اعمال تنظیمات غیر مجاز میتواند به هکر این اجازه را بدهد که یک Backdoor بر روی سایت نصب کند یا اینکه کنترل حساب کاربری admin را در دست بگیرد. در یک ویدئو demo که توسط این محقق بر روی یوتیوب منتشر شده است میبینیم که چگونه نفوذگر میتواند توسط این آسیبپذیری آدرس ایمیل کاربر admin که در تنظیمات اصلی سامانه وردپرس قرار دارد را تغییر دهد.
شیکیج در ادامه اعلام کرده است این آسیبپذیری را هفتهی پیش به کمپانی WPBrigade که سازندگان این افرونه هستند اعلام کرده است و آنها پس از یک روز، این آسیبپذیری را رفع کرده و نسخهی بهروز رسانی شدهی افزونه را منتشر کردهاند. به مدیران سایتهایی که از سیستم مدیریت محتوا وردپرس و این افزونه را استفاده میکنند هشدار داده میشود که افزونه خود را به نسخهی 2.0.22 که جمعهی گذشته در تاریخ 8 فوریه منتشر شده است ارتقا دهند. مقالههای مرتبط:
باگ امنیتی جدید وردپرس میلیونها سایت را آسیب پذیر میکند هزاران وبسایت تحت جوملا و وردپرس در معرض آلوده شدن به باج افزار CryptXXX
سایتهایی که اجازهی ثبتنام کاربران جدید بر روی سامانهی وردپرس خود را نمیدهند، از این آسیبپذیری در امان هستند، اما مابقی سایتها که امکان ثبتنام کاربر جدید برای عموم بر روی آنها باز بوده و از این افزونه استفاده میکنند باید حتما بهروز رسانی را انجام دهند. بر اساس آمار سایت مرکزی WordPress Plugins این فزونه بیش از 40 هزار بار بر روی سایتهای مختلف وردپرس نصب شده است و این خود خطر بزرگی را برای هدف قرار گرفتن توسط باتنتهای خودکار جهت سوء استفاده از این آسیبپذیری فراهم خواهد کرد.
-
جمعه ۲۶ بهمن ۱۳۹۷ - ۱۱:۱۱:۵۰
-
۳۴ بازديد
-
-
راه ترقی
لینک کوتاه:
https://www.rahetaraghi.ir/Fa/News/60140/