آسیب پذیری وردپرس وصله گذاری شده است. این پچ برای نسخه 5.7.2 وردپرس اعمال می شود. سایتهایی که بارگیری خودکار را انجام می دهند باید این به روزرسانی را بدون اقدام اضافی توسط ناشران دریافت کنند.
ناشران توصیه می شود برای اطمینان از بروزرسانی آنها به نسخه 5.7.2 ، از چه نسخه وردپرسی استفاده می کنند.
آسیب پذیری تزریق شی
آسیب پذیری که بر وردپرس تأثیر می گذارد ، آسیب پذیری Object Injection نامیده می شود. به طور خاص ، این یک تزریق شی در آسیب پذیری PHPMailer است.
طبق وب سایت امنیتی Owasp.org ، این تعریف آسیب پذیری تزریق شیject PHP است:
“PHP Object Injection یک آسیب پذیری سطح برنامه است که می تواند به یک مهاجم اجازه دهد تا انواع مختلف حملات مخرب مانند Code Injection ، SQL Injection ، Path Traversal و Application Denial of Service را انجام دهد ، بسته به زمینه.
این آسیب پذیری زمانی اتفاق می افتد که ورودی ارائه شده توسط کاربر قبل از انتقال به عملکرد غیر سریال () PHP به درستی پاک نشود.
از آنجا که PHP اجازه سریال سازی اشیا را می دهد ، مهاجمان می توانند رشته های سریال سازی شده موقت را به یک تماس غیر سریال () آسیب پذیر منتقل کنند و در نتیجه یک اشیا object (اچ پی) PHP به دامنه برنامه تزریق شود. “
تبلیغات
ادامه مطلب را در زیر بخوانید
آسیب پذیری وردپرس به عنوان مهم ارزیابی شده است
این آسیب پذیری نزدیک به بالاترین سطح رتبه بندی خطر ارزیابی شده است. در مقیاس 1 تا 10 با استفاده از سیستم آسیب پذیری مشترک (CVSS) ، این آسیب پذیری 9.8 ارزیابی شده است.
وب سایت امنیتی Patchstack رتبه بندی رسمی آسیب پذیری دولت ایالات متحده را منتشر کرد.
آسیب پذیری وردپرس دارای امتیاز حیاتی است
آسیب پذیری وردپرس در مقیاس 1 تا 10 9.8 درجه بندی شده است.طبق سایت امنیتی Patchstack که جزئیات این آسیب پذیری را منتشر کرده است:
تبلیغات
ادامه مطلب را در زیر بخوانید
“جزئیات
تزریق شی در آسیب پذیری PHPMailer در وردپرس کشف شده است (یک مسئله امنیتی که نسخه های وردپرس بین 3.7 تا 5.7 را تحت تأثیر قرار می دهد).
راه حل
وردپرس را به آخرین نسخه موجود به روز کنید (حداقل 5.7.2). تمام نسخه های وردپرس از 3.7 نیز به روز شده اند تا مشکل امنیتی زیر را برطرف کنند. “
در اعلامیه رسمی وردپرس برای وردپرس 5.7.2 آمده است:
«به روزرسانی های امنیتی
یک مسئله امنیتی روی نسخه های وردپرس بین 3.7 تا 5.7 تأثیر می گذارد.اگر هنوز به نسخه 5.7 به روز نشده اید ، تمام نسخه های وردپرس از 3.7 نیز برای رفع مشکلات امنیتی زیر به روز شده اند:
تزریق شی در PHPMailer ”
وب سایت رسمی پایگاه داده آسیب پذیری دولت ملی ایالات متحده که آسیب پذیری ها را اعلام می کند ، خاطرنشان کرد که این مشکل به این دلیل رخ داده است که رفع اشکال قبلی یک مشکل جدید ایجاد کرده است.
بانک اطلاعات ملی آسیب پذیری دولت ایالات متحده آسیب پذیری را به شرح زیر توصیف می کند:
“PHPMailer 6.1.8 تا 6.4.0 اجازه تزریق اشیا through را از طریق Phar Deserialization از طریق addAttachment با نام UNC می دهد.
توجه: این مشابه CVE-2018-19296 است ، اما به این دلیل بوجود آمد که 6.1.8 یک مشکل عملکردی را حل کرد که در آن نام های UNC همیشه توسط PHPMailer ، حتی در زمینه های امن ، غیرقابل خواندن تلقی می شد.
به عنوان یک عارضه جانبی ناخواسته ، این رفع کدی که مانع از بهره برداری addAttachment شد را از بین برد. “
پایگاه ملی آسیب پذیری آسیب پذیری وردپرس را بسیار مهم ارزیابی می کند
بلافاصله وردپرس را به روز کنید
ناشرانی که از وردپرس استفاده می کنند باید بررسی کنند که آیا جدیدترین نسخه نصب شده در وردپرس است. جدیدترین نسخه وردپرس نسخه 5.7.2 است.
تبلیغات
ادامه مطلب را در زیر بخوانید
از آنجا که رتبه بندی آسیب پذیری بسیار حیاتی است ، ممکن است به این معنی باشد که عواقب عدم بروزرسانی وردپرس به نسخه 5.7.2 ممکن است یک سایت را در برابر یک رویداد هک آسیب پذیر کند.
استناد
اطلاعیه وردپرس نسخه 5.7.2