وردپرس 5.8.1 برای رفع آسیب پذیری های متعدد منتشر شد

وردپرس یک نسخه امنیتی و نگهداری ، نسخه 5.8.1 را اعلام کرد. مهم است که وردپرس را به ویژه نسخه های 5.4 تا 5.8 به روز کنید تا سه مشکل امنیتی برطرف شود.

وردپرس 5.8.1 انتشار امنیت و نگهداری

این غیر معمول نیست که وردپرس یا هر نرم افزاری در این زمینه به روز رسانی اشکال را پس از بروزرسانی نسخه اصلی منتشر کند تا مشکلات پیش بینی نشده را برطرف کرده و همچنین پیشرفت هایی را ارائه دهد که در نسخه اصلی به موقع نرسیده است.

در وردپرس به این به روز رسانی ها نسخه تعمیر و نگهداری گفته می شود.

این به روز رسانی همچنین شامل یک به روزرسانی امنیتی است که برای هسته وردپرس تا حدودی غیر معمول است. این باعث می شود این به روز رسانی از نسخه تعمیر و نگهداری معمولی مهمتر باشد.

مشکلات امنیتی وردپرس برطرف شد

وردپرس 5.8.1 سه آسیب پذیری را برطرف می کند:

1. آسیب پذیری قرار گرفتن در معرض داده ها در REST API
2. آسیب پذیری برنامه نویسی بین سایت (XSS) در ویرایشگر بلوک گوتنبرگ
3. آسیب پذیری های متعدد برای شدت بالا در کتابخانه جاوا اسکریپت Lodash

هر سه آسیب پذیری فوق به قدری نگران کننده هستند که اعلامیه وردپرس توصیه می کند فوراً نصب وردپرس را به روز کنید.

REST API آسیب پذیری

WordPress REST API رابطی است که به افزونه ها و تم ها اجازه می دهد تا با هسته وردپرس تعامل داشته باشند.

REST API منبع آسیب پذیری های امنیتی بوده است ، از جمله اخیراً با آسیب پذیری Gutenberg Template Library & Redux Framework که بیش از یک میلیون وب سایت را تحت تأثیر قرار داده است.

این آسیب پذیری به عنوان آسیب پذیری قرار گرفتن در معرض داده ها توصیف می شود ، به این معنی که می توان اطلاعات حساس را فاش کرد. در حال حاضر هیچ اطلاعات دیگری در مورد نوع اطلاعات موجود نیست ، اما می تواند به اندازه گذرواژه برای داده ها باشد که می تواند برای ایجاد حمله از طریق آسیب پذیری دیگر مورد استفاده قرار گیرد.

وردپرس Gutenberg XSS آسیب پذیری

آسیب پذیری های Cross-Site Scripting (XSS) نسبتاً اغلب اتفاق می افتد. آنها می توانند هر زمان که ورودی کاربر مانند فرم تماس یا ایمیل وجود داشته باشد ، هر نوع ورودی که “ضدعفونی” نشده است جلوگیری شود تا از بارگذاری اسکریپت هایی که می توانند باعث ایجاد رفتارهای ناخواسته در نصب وردپرس شوند ، جلوگیری شود.

پروژه امنیت برنامه وب باز (OWASP) آسیب احتمالی آسیب پذیری های XSS را شرح می دهد:

“یک مهاجم می تواند از XSS برای ارسال یک اسکریپت مخرب به یک کاربر مشکوک استفاده کند. مرورگر کاربر نهایی راهی ندارد که بداند به اسکریپت نباید اعتماد کرد و اسکریپت را اجرا می کند.

از آنجا که فکر می کند اسکریپت از منبع معتبری گرفته شده است ، اسکریپت مخرب می تواند به کوکی ها ، نشانه های جلسه یا سایر اطلاعات حساس که توسط مرورگر حفظ شده و در آن سایت استفاده می شود دسترسی پیدا کند. این اسکریپت ها حتی می توانند محتوای صفحه HTML را بازنویسی کنند. “

این آسیب پذیری خاص بر ویرایشگر بلوک گوتنبرگ تأثیر می گذارد.

وردپرس Lodash JavaScript Library آسیب پذیری ها

این آسیب پذیری ها ممکن است نگران کننده ترین باشند. کتابخانه جاوا اسکریپت Lodash مجموعه ای از اسکریپت هایی است که توسط توسعه دهندگان مورد استفاده قرار می گیرد و دارای چندین آسیب پذیری است.

آخرین و مطمئن ترین نسخه Lodash 4.17.21 است.

وب سایت CVE List تحت حمایت امنیت داخلی ایالات متحده جزئیات آسیب پذیری را شرح می دهد:

“نسخه های Lodash قبل از 4.17.21 از طریق تابع الگو در برابر Command Injection آسیب پذیر هستند.”

به نظر می رسد بسیاری از آسیب پذیری های دیگر کتابخانه Lodash را در شاخه 4.1.7 نیز تحت تأثیر قرار داده است.

وردپرس به روز رسانی فوری را درخواست می کند

این آسیب پذیری های امنیتی احساس فوریت را به این به روز رسانی می افزاید. وردپرس به همه ناشران توصیه می کند که به روز کنند.

اعلان رسمی وردپرس به روز رسانی توصیه می کند:

“از آنجا که این یک نسخه امنیتی است ، توصیه می شود سایت های خود را فورا به روز کنید. همه نسخه های WordPress 5.4 نیز به روز شده اند. “

استناد

وردپرس 5.8.1 انتشار امنیت و نگهداری

توضیحات آسیب پذیری CVE Lodash CVE-2021-23337