افزونه WPCode – Insert Headers and Footers + Custom Code Snippets وردپرس با بیش از یک میلیون نصب، دارای آسیبپذیری است که به مهاجم اجازه میدهد فایلهای روی سرور را حذف کند.
هشدار در مورد آسیب پذیری در پایگاه داده آسیب پذیری ملی دولت ایالات متحده (NVD) ارسال شد.
افزونه Headers and Footers را درج کنید
افزونه WPCode (که قبلاً توسط WPBeginner به عنوان Insert Headers and Footers شناخته می شد)، یک افزونه محبوب است که به ناشران وردپرس اجازه می دهد قطعه کد را به قسمت سرصفحه و پاورقی اضافه کنند.
این برای ناشرانی که نیاز به افزودن کد اعتبار سنجی سایت کنسول جستجوی گوگل، کد CSS، داده های ساختاریافته، حتی کد AdSense دارند، تقریباً هر چیزی که در سرصفحه پاورقی یک وب سایت قرار دارد مفید است.
آسیب پذیری جعل درخواست بین سایتی (CSRF).
افزونه WPCode – Insert headers and Footers قبل از نسخه 2.0.9 حاوی مواردی است که به عنوان آسیبپذیری Cross-Site Request Forgery (CSRF) شناسایی شده است.
حمله CSRF به فریب کاربر نهایی که در سایت وردپرس ثبت نام کرده است متکی است تا روی پیوندی که یک عمل ناخواسته انجام می دهد کلیک کند.
مهاجم اساساً از اعتبار کاربر ثبت شده برای انجام اقداماتی در سایتی که کاربر در آن ثبت نام کرده است، پشتیبانی می کند.
هنگامی که یک کاربر وارد شده در وردپرس روی پیوند حاوی یک درخواست مخرب کلیک می کند، سایت موظف است درخواست را انجام دهد زیرا آنها از مرورگری با کوکی استفاده می کنند که به درستی کاربر را به عنوان وارد شده شناسایی می کند.
این اقدام مخربی است که کاربر ثبت نام شده ندانسته در حال انجام آن است که مهاجم روی آن حساب باز کرده است.
پروژه غیرانتفاعی Open Worldwide Application Security Project (OWASP) یک آسیب پذیری CSRF را توصیف می کند:
«جعل درخواست متقابل سایت (CSRF) حملهای است که کاربر نهایی را مجبور میکند تا اقدامات ناخواستهای را روی یک برنامه وب که در حال حاضر در آن احراز هویت شده است، انجام دهد.
با کمک کمی از مهندسی اجتماعی (مانند ارسال یک پیوند از طریق ایمیل یا چت)، یک مهاجم ممکن است کاربران یک برنامه وب را فریب دهد تا اقدامات مورد نظر مهاجم را اجرا کند.
اگر قربانی یک کاربر عادی باشد، یک حمله موفقیت آمیز CSRF می تواند کاربر را مجبور به انجام درخواست های تغییر وضعیت مانند انتقال وجه، تغییر آدرس ایمیل و غیره کند.
اگر قربانی یک حساب کاربری اداری باشد، CSRF می تواند کل برنامه وب را در معرض خطر قرار دهد.
وب سایت Common Weakness Enumeration (CWE) که توسط وزارت امنیت داخلی ایالات متحده حمایت می شود، تعریفی از این نوع CSRF ارائه می دهد:
«برنامه وب نمیتواند یا نمیتواند به اندازه کافی تأیید کند که آیا یک درخواست خوب، معتبر و منسجم عمداً توسط کاربر ارسالکننده درخواست ارائه شده است یا خیر.
زمانی که یک وب سرور برای دریافت درخواستی از یک کلاینت بدون هیچ مکانیزمی برای تأیید اینکه عمداً ارسال شده است طراحی شده است، در این صورت ممکن است مهاجم یک کلاینت را فریب دهد تا درخواستی غیرعمدی به وب سرور ارائه کند که مورد رسیدگی قرار خواهد گرفت. به عنوان یک درخواست معتبر
این را می توان از طریق URL، بارگذاری تصویر، XMLHttpRequest و غیره انجام داد و می تواند منجر به قرار گرفتن در معرض داده ها یا اجرای کد ناخواسته شود.
در این مورد خاص، اقدامات ناخواسته به حذف فایل های گزارش محدود می شود.
پایگاه داده ملی آسیب پذیری جزئیات این آسیب پذیری را منتشر کرد:
افزونه WPCode WordPress قبل از نسخه 2.0.9 دارای CSRF معیوب در هنگام حذف گزارش است و مطمئن نمی شود که فایلی که باید حذف شود در پوشه مورد انتظار قرار دارد.
این میتواند به مهاجمان اجازه دهد تا کاربرانی را که دارای قابلیت wpcode_activate_snippets هستند وادار کنند فایلهای گزارش دلخواه را روی سرور، از جمله خارج از پوشههای وبلاگ، حذف کنند.
وب سایت WPScan (متعلق به Automattic) اثبات مفهوم آسیب پذیری را منتشر کرد.
در این زمینه، یک اثبات مفهوم، کدی است که تأیید می کند و نشان می دهد که یک آسیب پذیری می تواند کار کند.
این اثبات مفهوم است:
"Make a logged in user with the wpcode_activate_snippets capability open the URL below https://example.com/wp-admin/admin.php?page=wpcode-tools&view=logs&wpcode_action=delete_log&log=../../delete-me.log This will make them delete the ~/wp-content/delete-me.log"
دومین آسیب پذیری برای سال 2023
این دومین آسیب پذیری است که در سال 2023 برای افزونه WPCode Insert Headers and Footers کشف شده است.
آسیب پذیری دیگری در فوریه 2023 کشف شد که بر نسخه های 2.0.6 یا کمتر تأثیر می گذارد که شرکت امنیتی Wordfence WordPress آن را به عنوان یک آسیب پذیری توصیف می کند. «فقدان مجوز برای افشای کلید حساس/بهروزرسانی».
بر اساس گزارش آسیبپذیری NVD، این آسیبپذیری نسخههای تا 2.0.7 را نیز تحت تأثیر قرار داده است.
NVD در مورد آسیب پذیری قبلی هشدار داد:
افزونه WPCode وردپرس قبل از نسخه 2.0.7 دارای بررسی امتیاز کافی برای چندین عملکرد AJAX نیست، فقط غیره را بررسی می کند.
این ممکن است به هر کاربر احراز هویتی که میتواند پستها را ویرایش کند، اجازه دهد تا با نقاط پایانی مربوط به احراز هویت کتابخانه WPCode (مانند بهروزرسانی و حذف کلید تأیید) تماس بگیرد.»
WPCode یک وصله امنیتی صادر کرد
افزونه Changelog برای WPCode – Insert Headers and Footers وردپرس با مسئولیت پذیری به این نکته اشاره می کند که یک مشکل امنیتی را اصلاح کرده اند.
یک نماد تغییرات برای نسخه به روز رسانی 2.0.9 بیان می کند:
“رفع: سخت شدن امنیتی برای حذف سیاههها.”
نماد تغییرات مهم است زیرا به کاربران افزونه از محتویات به روز رسانی هشدار می دهد و به آنها اجازه می دهد تصمیم آگاهانه ای در مورد ادامه به روز رسانی یا صبر کردن تا نسخه بعدی بگیرند.
WPCode با پاسخگویی به موقع به کشف آسیب پذیری و همچنین توجه به رفع مشکل امنیتی در تغییرات لاگ، مسئولانه عمل کرد.
اقدامات توصیه شده
توصیه می شود که کاربران افزونه WPCode – Insert headers and Footers افزونه خود را حداقل به نسخه 2.0.9 به روز کنند.
به روزترین نسخه افزونه 2.0.10 است.
در مورد این آسیب پذیری در وب سایت NVD بخوانید:
جزئیات CVE-2023-1624