آسیب پذیری افزونه پست های محبوب وردپرس بر 100 هزار سایت تأثیر می گذارد

توصیه‌ای درباره یک آسیب‌پذیری با شدت بالا در وردپرس صادر شده است که این امکان را برای مهاجمان فراهم می‌کند تا کدهای کوتاه دلخواه را با استفاده از افزونه وردپرس Popular Posts به سایت‌ها تزریق کنند. مهاجمان برای انجام حمله نیازی به یک حساب کاربری ندارند.

پست های محبوب وردپرس در بیش از 100000 وب سایت نصب شده است و وب سایت ها را قادر می سازد تا محبوب ترین پست ها را در هر بازه زمانی مشخصی نمایش دهند و به شانزده زبان مختلف ترجمه شده است تا استفاده از آن را در سراسر جهان گسترش دهد. دارای ویژگی‌های کش برای بهبود عملکرد و یک کنسول مدیریت است که به مدیران وب‌سایت اجازه می‌دهد آمار محبوبیت را مشاهده کنند.

آسیب پذیری کد کوتاه وردپرس

Shortcodes قابلیتی است که به کاربران اجازه می دهد تا با قرار دادن یک قطعه از پیش تعریف شده در داخل پرانتز، عملکردها را در یک صفحه وب درج کنند که به طور خودکار اسکریپتی را وارد می کند که عملکردی را انجام می دهد، مانند افزودن یک فرم تماس با یک کد کوتاه که به شکل زیر است: (add_contact_form).

وردپرس به تدریج از استفاده از کدهای کوتاه به نفع بلوک هایی با عملکردهای خاص دور می شود. سایت رسمی توسعه‌دهنده وردپرس، توسعه‌دهندگان پلاگین و تم را تشویق می‌کند تا از استفاده از کدهای کوتاه به نفع بلوک‌های اختصاصی خودداری کنند، دلیل اصلی آن این است که انتخاب و درج یک بلوک به جای پیکربندی کد کوتاه در افزونه و سپس درج دستی، گردش کار روان‌تری برای کاربر است که یک بلوک را انتخاب و درج کند. کد کوتاه در یک صفحه وب

وردپرس توصیه می کند:

ما به مردم توصیه می کنیم در نهایت کدهای کوتاه خود را به بلوک ارتقا دهند.

آسیب پذیری کشف شده در افزونه پست های محبوب وردپرس به دلیل اجرای عملکرد کد کوتاه است، به ویژه بخشی به نام do_shortcode()، که یک تابع وردپرس برای پردازش و اجرای کدهای کوتاه است که نیاز به پاکسازی ورودی و سایر پلاگین های استاندارد وردپرس و اقدامات امنیتی تم دارد. .

طبق توصیه ای که توسط Wordfence منتشر شده است:

“افزونه وردپرس Popular Posts برای وردپرس در برابر اجرای کد کوتاه دلخواه در همه نسخه ها تا، و از جمله، 7.1.0 آسیب پذیر است. دلیل این امر این است که نرم افزار به کاربران اجازه می دهد تا قبل از اجرای do_shortcode اقدامی را انجام دهند که به درستی یک مقدار را تأیید نمی کند. این امکان را برای مهاجمان احراز هویت نشده برای اجرای کدهای کوتاه دلخواه فراهم می کند.

این بخش در مورد “تأیید یک مقدار” به طور کلی به معنای بررسی این است که مطمئن شوید آنچه کاربر وارد می کند (“مقدار”)، مانند محتوای یک کد کوتاه، برای تایید ایمن بودن و مطابقت با ورودی های مورد انتظار قبل از ارسال برای تایید شده است. استفاده توسط وب سایت

تغییرات پلاگین رسمی

تغییرات ثبت اسنادی است از آنچه در حال به‌روزرسانی است، که برای کاربران افزونه فرصتی برای درک آنچه در حال به‌روزرسانی است و تصمیم‌گیری درباره به‌روزرسانی نصب یا عدم به‌روزرسانی آن‌ها برای کاربران این افزونه فراهم می‌کند، بنابراین شفافیت مهم است.

افزونه وردپرس Popular Posts به طور مسئولانه در اسناد به روز رسانی شفاف است.

تغییرات افزونه توصیه می کند:

“یک مشکل امنیتی را برطرف می کند که امکان اجرای کد کوتاه دلخواه ناخواسته را فراهم می کند (برای mikeyers و تیم Wordfence!)”

اقدامات توصیه شده

تمامی نسخه های افزونه وردپرس Popular Posts تا نسخه 7.1.0 آسیب پذیر هستند. Wordfence به روز رسانی به آخرین نسخه افزونه، 7.2.0 را توصیه می کند.

توصیه رسمی Wordfence را بخوانید:

پست های محبوب وردپرس

تصویر ویژه توسط Shutterstock/GrandeDuc

Source link