آسیب پذیری پلاگین گوگل آنالیتیکس وردپرس به بیش از 3 میلیون وب سایت رسیده است - سئو PBN

پایگاه داده ملی آسیب‌پذیری اعلام کرد که یک افزونه محبوب Google Analytics WordPress که در بیش از 3 میلیون نصب شده بود، کشف شد که حاوی آسیب‌پذیری ذخیره‌شده Cross-Site Scripting (XSS) است.

XSS ذخیره شده

حمله Cross-Site Scripting (XSS) معمولاً زمانی اتفاق می‌افتد که بخشی از وب‌سایت که ورودی کاربر را می‌پذیرد، ناامن است و اجازه ورودی‌های پیش‌بینی نشده مانند اسکریپت‌ها یا پیوندها را می‌دهد.

آسیب‌پذیری XSS می‌تواند برای دسترسی غیرمجاز به یک وب‌سایت مورد استفاده قرار گیرد و می‌تواند منجر به سرقت اطلاعات کاربر یا تصرف کامل سایت شود.

پروژه غیرانتفاعی Open Worldwide Application Security Project (OWASP) نحوه عملکرد آسیب پذیری XSS را شرح می دهد:

«یک مهاجم می‌تواند از XSS برای ارسال یک اسکریپت مخرب به یک کاربر نامطمئن استفاده کند. مرورگر کاربر نهایی راهی ندارد که بداند اسکریپت نباید قابل اعتماد باشد و اسکریپت را اجرا می کند.

از آنجایی که فکر می‌کند اسکریپت از یک منبع مطمئن آمده است، اسکریپت مخرب می‌تواند به کوکی‌ها، نشانه‌های جلسه یا سایر اطلاعات حساسی که توسط مرورگر حفظ شده و با آن سایت استفاده می‌شود، دسترسی داشته باشد.

یک XSS ذخیره شده، که مسلما بدتر است، اسکریپت مخربی است که در آن اسکریپت مخرب در خود سرورهای وب سایت ذخیره می شود.

افزونه MonsterInsights – Google Analytics Dashboard برای وردپرس، دارای نسخه ذخیره شده XSS این آسیب‌پذیری است.

MonsterInsights – داشبورد Google Analytics برای آسیب‌پذیری وردپرس

افزونه MonsterInsights Google Analytics در بیش از سه میلیون وب سایت نصب شده است که این آسیب پذیری را نگران کننده تر می کند.

شرکت امنیتی وردپرس، Patchstack که این آسیب پذیری را کشف کرده است، جزئیاتی را منتشر کرد:

Rafie Muhammad (Patchstack) این آسیب‌پذیری Cross Site Scripting (XSS) را در Google Analytics وردپرس توسط افزونه MonsterInsights کشف و گزارش کرد.

این می‌تواند به یک بازیگر مخرب اجازه دهد تا اسکریپت‌های مخرب مانند تغییر مسیر، تبلیغات و سایر محموله‌های HTML را به وب‌سایت شما تزریق کند که هنگام بازدید مهمانان از سایت شما اجرا می‌شوند.

این آسیب پذیری در نسخه 8.14.1 رفع شده است.

تغییرات پلاگین MonsterInsights در مخزن پلاگین وردپرس توضیحی تا حدودی مبهم از وصله امنیتی ارائه می دهد:

“اصلاح شد: ما یک خطای هشدار PHP را رفع کردیم و سختی امنیتی اضافی اضافه کردیم.”

“سخت امنیتی” اصطلاحی است که می تواند برای بسیاری از وظایف مربوط به کاهش بردارهای حمله مانند حذف شماره نسخه به کار رود.

وردپرس یک صفحه کامل در مورد سخت‌سازی امنیتی منتشر کرده است که وظایف سخت‌سازی امنیتی مانند پشتیبان‌گیری منظم از پایگاه داده، دریافت مضامین و افزونه‌ها از منابع قابل اعتماد و استفاده از رمزهای عبور قوی را توصیه می‌کند.

همه این فعالیت ها تقویت کننده امنیت هستند.

به همین دلیل است که استفاده از عبارت «سخت‌سازی امنیتی» یک اصطلاح عمومی و عمومی برای استفاده برای چیزی است که به اندازه اصلاح یک آسیب‌پذیری امنیتی XSS خاص (و مهم) است، که می‌تواند باعث شود کاربر از به‌روزرسانی افزونه خود صرف نظر کند.

عمل پیشنهاد شده

Patchstack توصیه می کند که همه کاربران پلاگین MonsterInsights Analytics افزونه وردپرس خود را فوراً به آخرین نسخه یا حداقل نسخه 8.14.1 به روز کنند.

اطلاعیه پایگاه داده آسیب پذیری ملی ایالات متحده را بخوانید:

CVE-2023-23999 جزئیات

اطلاعیه Patchstack را بخوانید:

افزونه وردپرس Google Analytics توسط MonsterInsights <= 8.14.0 در برابر اسکریپت های متقابل سایت (XSS) آسیب پذیر است.

سئو PBN | خبر های جدید سئو و هک و سرور