پنکا هریستوفسکا
منتشر شده در: ژانویه 17، 2024
محققان امنیتی یک جفت آسیبپذیری مهم را در یک افزونه محبوب وردپرس کشف کردهاند که به طور بالقوه میتواند به هکرها اجازه کنترل کامل بر وبسایتهای آسیبدیده را بدهد. این آسیبپذیریها در افزونه وردپرس POST SMTP Mailer ابزار تحویل ایمیل یافت شد که بر روی بیش از 300,000 وبسایت نصب شده است.
این آسیبپذیریها توسط Sean Murphy و Ulysses Saicha، محققانی از این کشور شناسایی شدند Wordfence، یک شرکت پیشرو در امنیت سایبری. آنها توضیح دادند که این آسیبپذیریها میتواند عوامل مخرب را قادر سازد تا کلید API احراز هویت ایمیلکننده و گزارشهای دسترسی را بازنشانی کنند، که ممکن است شامل ایمیلهای بازنشانی رمز عبور باشد.
مهم ترین آسیب پذیری شناسایی شده در این افزونه CVE-2023-6875 است که در مقیاس CVSS دارای امتیاز 9.8 است و تمامی نسخه های افزونه را تا 2.8.7 تحت تاثیر قرار می دهد.
به طور دقیق تر، این یک نقص دور زدن مجوز است که به دلیل «جلوگیری از نوع» در نقطه پایانی REST برنامه اتصال پلاگین ایجاد می شود. این آسیبپذیری امکان بازنشانی کلید API را برای احراز هویت فراهم میکند، که میتواند منجر به دسترسی به دادههای حساس گزارش، از جمله ایمیلهای بازنشانی رمز عبور شود. این اساساً به این معنی است که هکرها می توانند بازنشانی رمز عبور یک مدیر را آغاز کنند و آنها را از وب سایت قفل کنند.
آسیبپذیری دیگر، با نام CVE-2023-7027، یک مشکل XSS (Store Cross-Site Scripting) است. در امتیاز CVSS با 7.2 رتبه پایین تری دارد، اما همچنان به عنوان یک مشکل با شدت بالا در نظر گرفته می شود. محققان توضیح دادند که این امر ناشی از "غیر سالمسازی ورودی و خروجی ناکافی" در نسخههای 2.8.7 و پیشتر است و به مهاجمان احتمالی اجازه میدهد تا اسکریپتهای مضر را در صفحات وب جاسازی کنند، که پس از بازدید کاربر از صفحه در معرض خطر، اجرا میشوند.
با داشتن امتیازات کامل مدیر، یک هکر میتواند کنترل کاملی بر سایت وردپرس به دست آورد و افزونهها و مضامین را اصلاح کند، محتوا را ویرایش، منتشر و لغو انتشار کند، دربهای پشتی را نصب کند و کاربران را به مقصدهای ناامن هدایت کند.
اصلاحات امنیتی صادر شده توسط فروشنده این افزونه در نسخه 2.8.8 افزونه POST SMTP که در 1 ژانویه امسال منتشر شد. متأسفانه، تقریباً 50٪ از وب سایت هایی که از این افزونه استفاده می کنند، از نسخه آسیب پذیر استفاده می کنند گزارش. کاربران افزونه قویاً تشویق می شوند تا برای محافظت از وب سایت خود در برابر حملات احتمالی، آن را به جدیدترین نسخه ارتقا دهند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.safetydetectives.com/news/150000-wordpress-sites-at-risk-due-to-vulnerable-plugin/
- : دارد
- :است
- $UP
- 000
- 1
- 150
- 17
- 300
- 40
- 7
- 8
- 9
- a
- دسترسی
- مطابق
- بازیگران
- تحت تاثیر قرار
- وابسته
- در برابر
- معرفی
- اجازه دادن
- اجازه می دهد تا
- تقریبا
- an
- و
- API
- هستند
- AS
- At
- حمله
- تصدیق
- مجوز
- نماد
- پشتيباني
- بوده
- اما
- by
- گذرگاه
- CAN
- ایجاد می شود
- کامل
- در معرض خطر
- در نظر گرفته
- محتوا
- کنترل
- میتوانست
- بحرانی
- امنیت سایبری
- داده ها
- تحویل
- مقصدهای
- شناسایی شده
- مستقیم
- دو
- پیش از آن
- پست الکترونیک
- ایمیل
- جاسازی کردن
- قادر ساختن
- تشویق
- نقطه پایانی
- اساسا
- اجرا شده
- توضیح داده شده
- شرکت
- ثابت
- نقص
- برای
- یافت
- از جانب
- کامل
- افزایش
- هکر
- هکرها
- مضر
- آیا
- HTTPS
- شناسایی
- اثرات
- in
- شامل
- از جمله
- وارد کردن
- ورودی
- نصب شده
- به
- موضوع
- IT
- ژان
- کلید
- رهبری
- برجسته
- ارتباط دادن
- ورود به سیستم
- کاهش
- مخرب
- به معنی
- قدرت
- تغییر
- اکثر
- of
- on
- دیگر
- خارج
- تولید
- روی
- با ما
- صفحات
- جفت
- کلمه عبور
- تنظیم مجدد رمز عبور
- افلاطون
- هوش داده افلاطون
- PlatoData
- پلاگین
- پلاگین ها
- محبوب
- پست
- پتانسیل
- بالقوه
- امتیازات
- محافظت از
- منتشر کردن
- رتبه
- دارای رتبه
- اخیر
- منتشر شد
- محققان
- REST
- خطر
- مقیاس
- نمره
- اسکریپت
- شان
- تیم امنیت لاتاری
- حساس
- سایت
- سایت
- به طور خاص
- هنوز
- opbevare
- به شدت
- که
- La
- شان
- آنها
- تم
- سپس
- آنها
- این
- در این سال
- به
- ابزار
- دو
- کشف
- متاسفانه
- ارتقاء
- کاربر
- کاربران
- با استفاده از
- نسخه
- نسخه
- بازدیدکننده داشته است
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- بود
- وب
- وب سایت
- سایت اینترنتی
- وب سایت
- بود
- چه زمانی
- که
- وردپرس
- وردپرس پلاگین
- XSS
- سال
- زفیرنت