نه پلاگین وردپرس بیش از 1.3 میلیون سایت را در معرض سوء استفاده قرار می دهند

از

پایگاه داده آسیب‌پذیری دولت ایالات متحده و محققان امنیتی وردپرس هشدارهایی را درباره آسیب‌پذیری‌های افزونه وردپرس منتشر کردند. در میان این پلاگین ها، 9 مورد از محبوب ترین افزونه ها بیش از 1.3 میلیون وب سایت را تحت تأثیر قرار می دهند.

آسیب پذیری های نه پلاگین وردپرس

در حالی که تعداد زیادی افزونه آسیب پذیر وجود داشت، 9 افزونه محبوب بیش از 1.3 میلیون وب سایت را تحت تأثیر قرار دادند. آسیب پذیری ها رتبه بندی شدند

موارد زیر در لیست 9 افزونه آسیب پذیر قرار دارند:

  1. Header Footer Code Manager بیش از 300000 نصب
  2. Ad Inserter – Ad Manager و AdSense Ads بیش از 200000 نصب
  3. افزونه Popup Builder WordPress بیش از 200000 نصب
  4. امنیت ضد بدافزار و فایروال Brute-Force بیش از 200000 نصب
  5. حفاظت از کپی محتوای WP و بدون کلیک راست بیش از 100000 نصب
  6. پشتیبان گیری از پایگاه داده برای نصب بیش از 100000 وردپرس
  7. GiveWP – پلاگین کمک مالی و پلتفرم جمع آوری سرمایه بیش از 100000 نصب
  8. دانلود منیجر بیش از 100000 نصب
  9. افزونه Advanced Database Cleaner وردپرس بیش از 80000 نصب

افزونه وردپرس مدیریت کد سرصفحه

افزونه وردپرس Header Footer Code Manager توسط محققان امنیتی Wordfence کشف شد که دارای یک آسیب‌پذیری Reflected Cross-Site Scripting است.

این آسیب‌پذیری مستلزم آن است که هکر یک مدیر را فریب دهد تا روی یک پیوند یا اقدام دیگری کلیک کند تا آن را در برابر کنترل کامل سایت آسیب‌پذیر کند.

محققان خاطرنشان کردند که از آنجایی که این افزونه بر ناحیه حساس سایت‌های وردپرس تأثیر می‌گذارد، زیرا برای افزودن کد به وب‌سایت‌ها است، انواع اقدامات مخرب می‌تواند به افزودن درهای پشتی و حمله به بازدیدکنندگان سایت گسترش یابد.

Wordfence به ناشران توصیه می کند تا نصب های خود را حداقل به نسخه 1.1.17 به روز کنند.

Ad Inserter – Ad Manager و AdSense Ads (نسخه های رایگان و حرفه ای)

Ad Inserter – Ad Manager & AdSense Ads توسط WPScan گزارش شده است که همچنین دارای آسیب‌پذیری است که می‌تواند منجر به یک سوء استفاده از اسکریپت بین سایتی Reflected شود.

به ناشران توصیه می شود حداقل به نسخه 2.7.10 به روز رسانی کنند.

این افزونه دارای یک آسیب پذیری است که می تواند منجر به سوء استفاده از تزریق SQL شود.

بر اساس پایگاه ملی آسیب پذیری:

افزونه Popup Builder WordPress قبل از نسخه 4.0.7، پارامترهای orderby و order را قبل از استفاده از آنها در یک عبارت SQL در داشبورد مدیریت اعتبارسنجی نمی‌کند و به درستی از آنها فرار نمی‌کند، که می‌تواند به کاربران با امتیاز بالا اجازه انجام تزریق SQL را بدهد.

به ناشران توصیه می شود افزونه وردپرس را حداقل به نسخه 4.0.7 به روز کنند.

امنیت ضد بدافزار و فایروال Brute-Force

این افزونه وردپرس همچنین حاوی یک آسیب‌پذیری Reflected Cross-Site اسکریپت است. یک مهاجم برای انجام حمله باید دارای اعتبار سطح مدیریت باشد.

به ناشران توصیه می شود حداقل به نسخه 4.20.94 به روز رسانی کنند.

WP Content Copy Protection و بدون کلیک راست

این افزونه وردپرس توسط محققان امنیتی در Patchstack کشف شد که گزارش دادند این افزونه دارای آسیب‌پذیری Cross Site Request Forgery (CSRF) است.

به ناشران توصیه می شود حداقل به نسخه 3.4.5 به روز رسانی کنند.

پشتیبان گیری از پایگاه داده برای وردپرس

محققان امنیتی در WPScan یک آسیب‌پذیری SQL Injection را گزارش کردند که بر افزونه Backup Database for WordPress تأثیر می‌گذارد که حساس‌ترین بخش نصب وردپرس، پایگاه داده را مدیریت می‌کند.

یادداشت های WPScan:

“این افزونه قبل از استفاده از آن در یک عبارت SQL در داشبورد مدیریت، به درستی پاکسازی نمی‌شود و از پارامتر قطعه فرار نمی‌کند، که منجر به مشکل تزریق SQL می‌شود.”

پایگاه ملی آسیب‌پذیری به ناشران توصیه می‌کند افزونه Database Backup for WordPress را حداقل به نسخه ۲.۵.۱ به‌روزرسانی کنند.

GiveWP – پلاگین کمک مالی و پلتفرم جذب سرمایه

مشخص شد که پلاگین GiveWP Donation حاوی یک آسیب‌پذیری Reflected Cross-Site Scripting است. به ناشران توصیه می شود حداقل به نسخه 2.17.3 افزونه به روز رسانی کنند.

افزونه دانلود منیجر وردپرس

این افزونه حاوی یک اکسپلویت SQL Injection است که می تواند منجر به حمله Reflected Cross-Site Scripting شود. به ناشران توصیه می شود حداقل به نسخه 3.2.34 به روز رسانی کنند.

افزونه Advanced Database Cleaner وردپرس

این افزونه توسط محققان امنیتی کشف شد که حاوی مشکلی است که می‌تواند منجر به حمله Reflected Cross-Site Scripting شود. به ناشران توصیه می شود حداقل به نسخه 3.0.4 افزونه به روز رسانی کنند.

چندین پلاگین وردپرس آسیب پذیر هستند

پلاگین های زیادی گزارش شده است که دارای آسیب پذیری هستند. اما این 9 افزونه محبوب ترین افزونه ها هستند.

همه افزونه‌ها وصله‌ای دریافت کرده‌اند که آسیب‌پذیری را می‌بندد، اما این به ناشران بستگی دارد که مطمئن شوند از آخرین نسخه‌ها استفاده می‌کنند تا وب‌سایت‌ها و بازدیدکنندگان سایت خود را ایمن نگه دارند.

استناد

مدیر کد پاورقی سرصفحه
https://www.wordfence.com/blog/2022/02/reflected-xss-in-header-footer-code-manager/

Ad Inserter – Ad Manager و AdSense Ads
https://nvd.nist.gov/vuln/detail/CVE-2022-0288

افزونه وردپرس Popup Builder
https://nvd.nist.gov/vuln/detail/CVE-2022-0228

امنیت ضد بدافزار و فایروال Brute-Force
https://nvd.nist.gov/vuln/detail/CVE-2021-25101
https://wpscan.com/vulnerability/5fd0380c-0d1d-4380-96f0-a07be5a61eba

WP Content Copy Protection و بدون کلیک راست
https://nvd.nist.gov/vuln/detail/CVE-2022-23983

پشتیبان گیری از پایگاه داده برای وردپرس
https://nvd.nist.gov/vuln/detail/CVE-2022-0255

GiveWP – پلاگین کمک مالی و پلتفرم جذب سرمایه
https://nvd.nist.gov/vuln/detail/CVE-2021-25100
https://nvd.nist.gov/vuln/detail/CVE-2021-25099

مدیریت دانلود
https://nvd.nist.gov/vuln/detail/CVE-2021-25069
https://wpscan.com/vulnerability/4ff5e638-1b89-41df-b65a-f821de8934e8

افزونه Advanced Database Cleaner وردپرس
https://nvd.nist.gov/vuln/detail/CVE-2021-24921

سئو PBN | خبر های جدید سئو و هک و سرور