إذا قمت بتشغيل موقع WordPress بامتداد الأعضاء النهائيون تم تثبيت المكون الإضافي ، تأكد من تحديثه إلى أحدث إصدار.
خلال عطلة نهاية الأسبوع ، نشر منشئ المكون الإضافي الإصدار 2.6.7، والذي من المفترض أن يصلح ثغرة أمنية خطيرة ، وصفها المستخدم تضمين التغريدة على موقع دعم WordPress كما يلي:
ثغرة حرجة في البرنامج المساعد (CVE-2023-3460) يسمح للمهاجم غير المصدق بالتسجيل كمسؤول والسيطرة الكاملة على موقع الويب. تحدث المشكلة مع نموذج تسجيل البرنامج المساعد. في هذا النموذج يبدو أنه من الممكن تغيير قيم معينة للحساب المراد تسجيله. وهذا يشمل
wp_capabilities
القيمة ، التي تحدد دور المستخدم على موقع الويب.لا يسمح المكون الإضافي للمستخدمين بإدخال هذه القيمة ، ولكن تبين أنه من السهل تجاوز هذا الفلتر ، مما يجعل من الممكن تعديله
wp_capabilities
وأصبح مشرفًا.
بعبارة أخرى ، عند إنشاء حساباتهم أو إدارتها عبر الإنترنت ، فإن نموذج الويب من جانب العميل المقدم للمستخدمين لا يسمح لهم رسميًا بإعداد أنفسهم مع قوى خارقة.
لكن البرنامج الخلفي لا يكتشف بشكل موثوق ويحظر المستخدمين المحتالين الذين يرسلون طلبات غير مناسبة عمدًا.
يعد البرنامج المساعد بـ "السهولة المطلقة"
• برنامج العضو النهائي يهدف إلى مساعدة مواقع WordPress على تقديم مستويات مختلفة من وصول المستخدم ، وإدراج نفسه على أنه "أفضل ملف تعريف مستخدم ومكوِّن إضافي لعضوية WordPress"، والتحدث عن نفسها في دعاية إعلانها على النحو التالي:
الملف التعريفي للمستخدم والعضوية رقم 1 لبرنامج WordPress. يجعل المكون الإضافي من السهل على المستخدمين التسجيل ويصبحوا أعضاء في موقع الويب الخاص بك. يسمح لك المكون الإضافي بإضافة ملفات تعريف مستخدم جميلة إلى موقعك وهو مثالي لإنشاء مجتمعات ومواقع عضوية متقدمة عبر الإنترنت. سيمكنك Ultimate Member ، خفيف الوزن وقابل للتمديد بدرجة كبيرة ، من إنشاء أي نوع من المواقع تقريبًا حيث يمكن للمستخدمين الانضمام والانضمام إلى الأعضاء بسهولة تامة.
لسوء الحظ ، لا يبدو المبرمجون واثقين تمامًا من قدرتهم على مطابقة "السهولة المطلقة" لاستخدام المكون الإضافي مع أمان قوي.
في الرد الرسمي إلى تقرير الأمان أعلاه منsoftwaregeek ، وصفت الشركة عملية إصلاح الأخطاء مثل هذه [نص مقتبس هكذا]:
نحن نعمل على الإصلاحات المتعلقة بهذه الثغرة الأمنية منذ إصدار 2.6.3 عندما نتلقى تقريرًا من أحد عملائنا. الإصدارات 2.6.4 و 2.6.5 و 2.6.6 تغلق جزئيًا هذه الثغرة الأمنية ولكننا ما زلنا نعمل مع فريق WPScan للحصول على أفضل نتيجة. نحصل أيضًا على تقريرهم بجميع التفاصيل اللازمة.
جميع الإصدارات السابقة معرضة للخطر ، لذا نوصي بشدة بترقية مواقع الويب الخاصة بك إلى 2.6.6 والاحتفاظ بالتحديثات في المستقبل للحصول على تحسينات الأمان والميزات الأخيرة.
نعمل حاليًا على إصلاح مشكلة متبقية وسنصدر تحديثًا آخر في أقرب وقت ممكن.
البق في أماكن كثيرة
إذا كنت تقوم بواجب الأمن السيبراني خلال فترة الشائنة ضعف Log4Shell خلال موسم عطلة الكريسماس في نهاية عام 2021 ، ستعرف أن بعض أنواع أخطاء البرمجة تحتاج في النهاية إلى تصحيحات تحتاج إلى تصحيحات ، وما إلى ذلك.
على سبيل المثال ، إذا كان لديك تجاوز سعة المخزن المؤقت في نقطة واحدة في التعليمات البرمجية الخاصة بك حيث قمت عن غير قصد بحجز 28 بايت من الذاكرة ولكن قصدت كتابة 128 طوال الوقت ، فإن إصلاح هذا الرقم الخاطئ سيكون كافيًا لتصحيح الخطأ دفعة واحدة.
الآن ، ومع ذلك ، تخيل أن الخطأ لم يكن ناتجًا عن خطأ مطبعي في نقطة واحدة فقط في الكود ، ولكنه كان ناتجًا عن افتراض أن 28 بايت كان حجم المخزن المؤقت الصحيح في جميع الأوقات وفي جميع الأماكن.
ربما تكون قد كررت أنت وفريق البرمجة الخطأ في أماكن أخرى في برنامجك ، بحيث تحتاج إلى الاستقرار في جلسة مطولة من البحث عن الأخطاء.
بهذه الطريقة ، يمكنك دفع المزيد من التصحيحات على الفور وبشكل استباقي إذا وجدت أخطاء أخرى ناتجة عن نفس الخطأ أو خطأ مشابه. (من السهل العثور على الأخطاء بشكل عام بمجرد أن تعرف ما الذي تبحث عنه في المقام الأول.)
في حالة Log4J ، شرع المهاجمون أيضًا في البحث عن الكود ، على أمل العثور على أخطاء الترميز ذات الصلة في أي مكان في الكود قبل قيام مبرمجي Log4J بذلك.
لحسن الحظ ، فإن فريق البرمجة Log4J ليس فقط راجع التعليمات البرمجية الخاصة بهم لإصلاح الأخطاء ذات الصلة بشكل استباقي ، ولكن أيضًا أبقوا أعينهم عن ثغرات إثبات المفهوم الجديدة.
تم الكشف علنًا عن بعض نقاط الضعف الجديدة من قبل صائدي الأخطاء المندفعين الذين فضلوا على ما يبدو شهرة الإنترنت الفورية على الشكل الأكثر رصانة من التأخير في التعرف عليهم من الكشف عن الخطأ بشكل مسؤول لمبرمجي Log4J.
لقد رأينا موقفًا مشابهًا في الثغرة الأمنية الأخيرة لإدخال أوامر MOVEit ، حيث اكتشف شركاء عصابة Clop ransomware واستغلوا علة اليوم صفر في الواجهة الأمامية لـ MOVEit على شبكة الإنترنت ، مما يسمح للمحتالين بسرقة بيانات الشركة الحساسة ثم محاولة ابتزاز الضحايا لدفع "أموال الصمت".
قامت شركة Progress Software ، صانعي MOVEit ، بتصحيح يوم الصفر بسرعة ، ثم نشرت ملف التصحيح الثاني بعد العثور على الأخطاء ذات الصلة في جلسة مطاردة الأخطاء الخاصة بهم ، فقط لنشر رقعة ثالثة بعد ذلك بوقت قصير ، عندما وجد صائد تهديد على غرار نفسه ثقبًا آخر فاته Progress.
للأسف ، قرر هذا "الباحث" أن يدعي الفضل في العثور على الثغرة الأمنية من خلال نشرها من أجلها أي شخص وكل شخص يراه، بدلاً من إعطاء التقدم يومًا أو يومين للتعامل معه أولاً.
أجبر هذا التقدم على إعلان أنه سيكون يوم صفر آخر ، وأجبر عملاء Progress على إيقاف تشغيل جزء عربات الأطفال بالكامل من البرنامج لمدة 24 ساعة تقريبًا أثناء تم إنشاء التصحيح واختبارها.
في هذا الأعضاء النهائيون حالة الخطأ ، لم يكن صانعو المكون الإضافي مدروسين مثل صانعي MOVEit ، الذين نصحوا عملاءهم صراحة بالتوقف عن استخدام البرنامج أثناء تصحيح هذا الثقب الجديد والقابل للاستغلال.
نصح أعضاء Ultimate فقط مستخدميهم بضرورة الانتباه إلى التحديثات المستمرة ، والتي يعد الإصدار 2.6.7 المنشور مؤخرًا هو الرابع في سلسلة من إصلاحات الأخطاء لمشكلة لوحظت لأول مرة في منتصف يونيو 2023 ، عندما كان الإصدار 2.6.3 هو الإصدار الأخير. رقم الإصدار الحالي.
ماذا ستفعلين.. إذًا؟
- إذا كنت من مستخدمي UltimateMember ، فقم بالتصحيح بشكل عاجل. نظرًا للطريقة المجزأة التي يبدو أن فريق تشفير المكون الإضافي يعالج هذه المشكلة ، تأكد من البحث عن التحديثات المستقبلية وتطبيقها في أسرع وقت ممكن أيضًا.
- إذا كنت مبرمجًا من جانب الخادم ، فافترض دائمًا الأسوأ. لا تعتمد أبدًا على التعليمات البرمجية من جانب العميل التي لا يمكنك التحكم فيها ، مثل HTML أو JavaScript التي يتم تشغيلها في متصفح المستخدم ، للتأكد من أن بيانات الإدخال المقدمة آمنة. تحقق من صحة المدخلات الخاصة بك، كما نحب أن نقول على Naked Security. قم دائمًا بالقياس ، ولا تفترض أبدًا.
- إذا كنت مبرمجًا ، فابحث على نطاق واسع عن المشكلات ذات الصلة عند الإبلاغ عن أي خطأ. قد تكون أخطاء الترميز التي ارتكبها أحد المبرمجين في مكان واحد قد تكررت في مكان آخر ، إما عن طريق نفس المبرمج الذي يعمل في أجزاء أخرى من المشروع ، أو من قبل المبرمجين الآخرين "تعلم" العادات السيئة أو اتباع افتراضات تصميم غير صحيحة.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
- المصدر https://nakedsecurity.sophos.com/2023/07/03/wordpress-plugin-lets-users-become-admins-patch-early-patch-often/
- :يكون
- :ليس
- :أين
- $ UP
- 1
- 15%
- 2021
- 2023
- 24
- 25
- 28
- 7
- a
- القدرة
- من نحن
- فوق
- مطلق
- الوصول
- حسابي
- الحسابات
- تضيف
- معالجة
- مشرف
- متقدم
- دعاية
- بعد
- بعدئذ
- الكل
- السماح
- السماح
- يسمح
- على طول
- أيضا
- دائما
- an
- و
- آخر
- أي وقت
- يبدو
- التقديم
- هي
- AS
- افترض
- افتراض
- At
- المؤلفة
- السيارات
- الخلفية
- خلفية الصورة
- سيئة
- BE
- جميل
- أصبح
- كان
- قبل
- أفضل
- ابتزاز تهديدي
- حظر
- الحدود
- الملابس السفلية
- نسيم
- بصورة عامة
- المتصفح
- العازلة
- تجاوز سعة المخزن المؤقت
- علة
- صيد الحشرات
- البق
- لكن
- by
- CAN
- حقيبة
- تسبب
- مركز
- معين
- سلسلة
- تغيير
- عيد الميلاد
- مطالبة
- اغلاق
- الكود
- المبرمج
- البرمجة
- اللون
- المجتمعات
- حول الشركة
- واثق
- مراقبة
- بهيكل
- خلق
- خلق
- الخالق
- ائتمان
- حرج
- حالياًّ
- حاليا
- زبون
- العملاء
- الأمن السيبراني
- البيانات
- يوم
- صفقة
- قررت
- مؤجل
- وصف
- تصميم
- تفاصيل
- يحدد
- فعل
- إفشاء
- العرض
- do
- لا
- لا
- إلى أسفل
- أثناء
- في وقت مبكر
- سهولة
- أسهل
- سهل
- إما
- في مكان آخر
- تمكين
- النهاية
- التحسينات
- كاف
- ضمان
- أدخل
- تماما
- أخطاء
- كل شخص
- مثال
- استغلال
- مآثر
- العيون
- FAME
- الميزات
- تصفية
- العثور على
- الاسم الأول
- حل
- متابعيك
- في حالة
- النموذج المرفق
- وجدت
- رابع
- تبدأ من
- جبهة
- نهاية المقدمة
- بالإضافة إلى
- إضافي
- مستقبل
- عصابة
- على العموم
- دولار فقط واحصل على خصم XNUMX% على جميع
- الحصول على
- معطى
- إعطاء
- Go
- كان
- يملك
- ارتفاع
- مساعدة
- جدا
- حفرة
- أمل
- ساعات العمل
- تحوم
- لكن
- HTML
- HTTPS
- صياد
- if
- تخيل
- in
- يشمل
- سيء السمعة
- إدخال
- تثبيت
- لحظة
- Internet
- إلى
- قضية
- مسائل
- IT
- انها
- نفسها
- جافا سكريبت
- الانضمام
- يونيو
- م
- واحد فقط
- احتفظ
- أبقى
- علم
- آخر
- اليسار
- يتيح
- ومستوياتها
- خفيفة الوزن
- مثل
- قائمة
- log4j
- بحث
- صنع
- جعل
- صناع
- يصنع
- القيام ب
- إدارة
- كثير
- هامش
- مباراة
- ماكس العرض
- مايو..
- يعني
- قياس
- عضو
- الأعضاء
- عضوية
- مكبر الصوت : يدعم، مع دعم ميكروفون مدمج لمنع الضوضاء
- مجرد
- وسط
- ربما
- افتقد
- خطأ
- الأخطاء
- الأكثر من ذلك
- الأمن عارية
- ضروري
- حاجة
- الحاجة
- أبدا
- جديد
- عادي
- عدد
- of
- خصم
- عرض
- رسميا
- on
- مرة
- ONE
- جارية
- online
- مجتمعات الانترنت
- فقط
- or
- أخرى
- لنا
- خارج
- على مدى
- الخاصة
- جزء
- أجزاء
- بقعة
- بقع
- بول
- دفع
- المكان
- وجهات
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- المساعد
- البوينت
- ان يرتفع المركز
- ممكن
- المنشورات
- المفضل
- قدم
- سابق
- المشكلة
- عملية المعالجة
- ملفي الشخصي
- ملامح
- مبرمج
- المبرمجين
- برمجة وتطوير
- التقدّم
- تنفيذ المشاريع
- وعود
- علانية
- نشر
- نشرت
- نشر
- دفع
- بسرعة
- الفدية
- بدلا
- الأخيرة
- مؤخرا
- اعتراف
- نوصي
- تسجيل جديد
- مسجل
- التسجيل
- ذات صلة
- نسبي
- الافراج عن
- اعتمد
- المتبقية
- متكرر
- تقرير
- وذكرت
- طلبات
- محفوظة
- نتيجة
- حق
- النوع
- يجري
- يدير
- خزنة
- نفسه
- رأى
- قول
- بحث
- الموسم
- أمن
- بدا
- حساس
- جدي
- الجلسة
- طقم
- حل
- قريبا
- مماثل
- منذ
- عزباء
- الموقع
- المواقع
- حالة
- المقاس
- So
- رصين
- تطبيقات الكمبيوتر
- الصلبة
- بعض
- قريبا
- لا يزال
- قلة النوم
- قوي
- تقدم
- المقدمة
- هذه
- الدعم
- مفترض
- بالتأكيد
- SVG
- أخذ
- الحديث
- فريق
- اختبار
- من
- أن
- •
- المستقبل
- من مشاركة
- منهم
- أنفسهم
- then
- هم
- الثالث
- التهديد
- مرات
- إلى
- سويا
- جدا
- تيشرت
- انتقال
- شفاف
- محاولة
- منعطف أو دور
- يتحول
- اثنان
- نوع
- أنواع
- نهائي
- تحديث
- تحديث
- آخر التحديثات
- ترقية
- URL
- تستخدم
- مستخدم
- المستخدمين
- استخدام
- عطلة
- قيمنا
- القيم
- مختلف
- الإصدار
- ضحايا
- نقاط الضعف
- الضعف
- الضعيفة
- وكان
- طريق..
- we
- الويب
- على شبكة الإنترنت
- الموقع الإلكتروني
- المواقع
- نهاية الأسبوع
- كان
- ابحث عن
- متى
- التي
- في حين
- من الذى
- عرض
- سوف
- مع
- WordPress
- وورد البرنامج المساعد
- كلمات
- عامل
- أسوأ
- سوف
- حتى الآن
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت