300،00+ نصب افزونه های وردپرس Catch Themes آسیب پذیر است

محققان امنیتی WPScan و Wordfence هفده افزونه منتشر شده Catch Plugins (بخشی از Catch Themes، LLC) را شناسایی کرده‌اند که دارای آسیب‌پذیری هستند. این آسیب‌پذیری‌ها به عنوان بالا رتبه‌بندی می‌شوند و می‌توانند منجر به این شوند که مهاجم بتواند تنظیمات افزونه را تغییر دهد.

جعل درخواست متقابل سایت (CSRF)

سوء استفاده از احراز هویت کاربر (فاقد بررسی قابلیت ها) و آسیب پذیری Cross Site Request Forgery (CSRF) بر 17 افزونه منتشر شده توسط Catch Themes تأثیر می گذارد.

این آسیب پذیری ها به هر کاربر وارد شده ، حتی مشترک ، اجازه می دهد تا تغییراتی را انجام دهد که معمولاً برای کاربران وردپرس با بالاترین امتیاز ویرایش محفوظ است ، مانند مدیر وب سایت.

با توجه به ناشر افزونه امنیتی وردپرس WPScan:

تبلیغات

ادامه مطلب در زیر

“چند پلاگین از فروشنده CatchThemes قابلیت و بررسی CSRF را در عملکرد ctp_switch AJAX انجام نمی‌دهند، که می‌تواند به هر کاربر احراز هویت شده، مانند Subscriber اجازه دهد تا تنظیمات افزونه را تغییر دهد.”

Wordfence آسیب پذیری را در افزونه وردپرس Catch Demo Import گزارش می دهد

Wordfence اطلاعیه‌ای درباره یک آسیب‌پذیری حیاتی که در یکی از این افزونه‌ها کشف شده است منتشر کرد، Catch Themes Demo Import (نسخه‌های تا و شامل نسخه 1.7).

Catch Themes افزونه Demo Import WordPress پیدا شد که دارای آسیب پذیری آپلود فایل دلخواهبه

مشخص نیست که این آسیب پذیری خاص چقدر شدید است. این آسیب‌پذیری توسط Wordfence 9.1 در مقیاس 1 تا 10 رتبه‌بندی شد و به عنوان بحرانی توصیف شد. با این حال ، این آسیب پذیری در پایگاه ملی آسیب پذیری دولت ایالات متحده با رتبه 7.2 (بالا) ذکر شده است.

تبلیغات

ادامه مطلب در زیر

با توجه به Wordfence:

“افزونه وردپرس Catch Themes Demo Import از طریق قابلیت وارد کردن فایل موجود در فایل ~/inc/CatchThemesDemoImport.php ، در نسخه های تا 1.7 ، به دلیل عدم اعتبار نوع فایل کافی ، در برابر بارگذاری های دلخواه آسیب پذیر است.”

Wordfence توصیه می کند که به نسخه 1.8 یا جدیدتر ارتقا دهید.

آسیب پذیری های کشف شده در افزونه های وردپرس Seventeen Catch Themes

WPScan هفده افزونه وردپرس Catch Themes را فهرست می‌کند که آسیب‌پذیری‌هایشان کشف شده است. همه هفده مورد به ناشر افزونه فاش شده و رفع شده اند.

بیش از 300000 نصب تحت تأثیر قرار گرفته است

بسیاری از هفده پلاگین بسیار محبوب هستند.

این 10 افزونه محبوب ترین Catch Themes هستند که تعداد نصب آنها در کنار آنها ذکر شده است.

ده محبوب ترین افزونه تم آسیب پذیر آسیب پذیر

  1. به اوج – به بالا – به سمت قله80،000 نصب
  2. نوع محتوای ضروریs – 50000 تاسیسات
  3. کارت شناسایی40000 تاسیسات
  4. گرفتن ابزارهای وب20000 نصب
  5. گالری اجتماعی و ویجت20000 تاسیسات
  6. اسکرول بی نهایت را بگیرید20000 تاسیسات
  7. گرفتن گالری20000 نصب
  8. ابزارک های ضروری20000 تاسیسات
  9. گالری و ویجت فید اینستاگرام (گالری اجتماعی و ویجت) را بگیرید20000 تاسیسات
  10. Catch Theme Demo Import10000 نصب

افزونه های آسیب پذیر Seventeen Catch Themes

این هفده افزونه گزارش شده توسط WPScan دارای آسیب پذیری است که بعداً وصله شد:

  1. ابزارک های ضروری
    در نسخه 1.9 رفع شد
  2. به اوج – به بالا – به سمت قله
    در نسخه 2.3 رفع شد
  3. افزایش سربرگ
    ثابت در نسخه 1.5
  4. ایجاد تم کودک
    در نسخه 1.6 ثابت شد
  5. انواع محتوای ضروری
    در نسخه 1.9 ثابت شده است
  6. گرفتن ابزارهای وب
    در نسخه 2.7 ثابت شده است
  7. گرفتن در دست ساخت
    در نسخه 1.4 رفع شد
  8. Catch Theme Demo Import
    در نسخه 1.6 ثابت شد
  9. گرفتن منوی چسبناک
    در نسخه 1.7 رفع شد
  10. Catch Scroll Progress Bar
    در نسخه 1.6 رفع شد
  11. گرفتن گالری و ویجت خوراک اینستاگرام (گالری اجتماعی و ویجت)
    ثابت در نسخه 2.3.3
  12. اسکرول بی نهایت را بگیرید
    در نسخه 1.9 ثابت شده است
  13. صادرات واردات را بگیر
    در نسخه 1.9 ثابت شده است
  14. گرفتن گالری
    در نسخه 1.7 ثابت شده است
  15. Catch Duplicate Switcher را بگیرید
    در نسخه 1.6 ثابت شد
  16. گرفتن Breadcrumb
    در نسخه 1.7 ثابت شده است
  17. گرفتن شناسه ها
    در نسخه 2.4 رفع شد

تبلیغات

ادامه مطلب در زیر

به کاربران توصیه می شود به روز رسانی آخرین نسخه های افزونه را در نظر بگیرند

ناشرانی که از افزونه های تحت تأثیر Catch Themes استفاده می کنند و می خواهند از عواقب ناخواسته استفاده از نسخه های آسیب پذیر این افزونه ها جلوگیری کنند ، باید ارتقاء خود را به آخرین نسخه افزونه هایی که در حال حاضر موجود است ، در نظر بگیرند.

عدم انجام این کار ممکن است منجر به قرار گرفتن غیر ضروری در یک رویداد هک شود.

استناد

مشاوره WPScan در مورد پلاگین های Catch Themes را بخوانید

افزونه های متعدد از CatchThemes – تغییر تنظیمات افزونه غیر مجاز

افزونه Wordfence Advisory of Catch Themes

Catch Themes Demo Import <= 1.7 سرپرست+ بارگذاری دلخواه فایل

توصیه‌های افزونه‌های دریافت تم پایگاه داده آسیب‌پذیری ملی

Catch Theme Demo Import آسیب پذیری افزونه وردپرس CVE-2021-39352 جزئیات

تبلیغات

ادامه مطلب در زیر

پایگاه داده ملی آسیب‌پذیری فهرست آسیب‌پذیری‌های افزونه‌های چند تم Catch