آسیب پذیری افزونه کش وردپرس بر 5 میلیون وب سایت تأثیر می گذارد

بیش از 5 میلیون نصب از افزونه LiteSpeed ​​Cache WordPress در برابر سوء استفاده ای آسیب پذیر است که به هکرها اجازه می دهد تا حقوق سرپرست را به دست آورند و فایل ها و افزونه های مخرب را آپلود کنند.

این آسیب‌پذیری ابتدا به Patchstack، یک شرکت امنیتی وردپرس، گزارش شد، که توسعه‌دهنده افزونه را مطلع کرد و منتظر ماند تا آسیب‌پذیری وصله شود و قبل از اعلام عمومی، این آسیب‌پذیری برطرف شود.

بنیانگذار Patchstack، اولیور سیلد، این موضوع را با ژورنال Search Engine بحث کرد و اطلاعات پس زمینه ای در مورد چگونگی کشف این آسیب پذیری و میزان جدی بودن آن ارائه کرد.

Sild به اشتراک گذاشته شده است:

از طریق برنامه Patchstack WordPress Bug Bounty که به محققان امنیتی که آسیب‌پذیری‌ها را گزارش می‌کنند، جوایزی ارائه می‌دهد، گزارش شده است. این گزارش برای جایزه 14400 دلاری واجد شرایط بود. ما مستقیماً با محقق و توسعه‌دهنده افزونه کار می‌کنیم تا اطمینان حاصل کنیم که آسیب‌پذیری‌ها قبل از افشای عمومی به درستی اصلاح می‌شوند.

ما از ابتدای ماه اوت اکوسیستم وردپرس را برای تلاش‌های احتمالی برای بهره‌برداری زیر نظر گرفته‌ایم و تاکنون هیچ نشانه‌ای از بهره‌برداری انبوه وجود ندارد. اما ما انتظار داریم که این به زودی مورد بهره برداری قرار گیرد.

سیلد در پاسخ به این سوال که این آسیب پذیری چقدر جدی است، پاسخ داد:

«این یک آسیب‌پذیری حیاتی است که به‌خاطر پایه نصب بزرگ آن، به‌ویژه خطرناک است. هکرها قطعاً در حال بررسی این موضوع هستند.»

چه چیزی باعث آسیب پذیری شد؟

طبق گفته Patchstack، این سازش به دلیل یک ویژگی افزونه ایجاد شده است که یک کاربر موقت ایجاد می کند که سایت را می خزند تا سپس یک کش از صفحات وب ایجاد کند. کش یک کپی از منابع صفحه وب است که در هنگام درخواست یک صفحه وب به مرورگرها ذخیره و تحویل داده می شود. حافظه نهان با کاهش تعداد دفعاتی که سرور باید از پایگاه داده برای ارائه صفحات وب واکشی کند، سرعت صفحات وب را افزایش می دهد.

توضیح فنی توسط Patchstack:

این آسیب‌پذیری از یک ویژگی شبیه‌سازی کاربر در افزونه سوء استفاده می‌کند که توسط یک هش امنیتی ضعیف که از مقادیر شناخته شده استفاده می‌کند محافظت می‌شود.

… متأسفانه، این نسل هش امنیتی از مشکلات متعددی رنج می برد که مقادیر احتمالی آن را مشخص می کند.

توصیه

به کاربران پلاگین وردپرس LiteSpeed ​​توصیه می شود فوراً سایت های خود را به روز کنند زیرا ممکن است هکرها سایت های وردپرس را برای بهره برداری شکار کنند. این آسیب پذیری در نسخه 6.4.1 در 19 آگوست برطرف شد.

کاربران راه حل امنیتی وردپرس Patchstack کاهش فوری آسیب پذیری ها را دریافت می کنند. Patchstack در نسخه رایگان موجود است و نسخه پولی آن حداقل 5 دلار در ماه هزینه دارد.

در مورد آسیب پذیری بیشتر بخوانید:

افزایش امتیاز حیاتی در افزونه کش LiteSpeed ​​که بر بیش از 5 میلیون سایت تأثیر می گذارد

تصویر برجسته توسط Shutterstock/Asier Romero

Source link