Search
Close this search box.

پلاگین آسیب‌پذیری که میلیون‌ها سایت ووردپرس را تهدید می‌کند

ارشادی
اشتراک‌گذاری در:
پلاگین وردپرس باعث هک 5 میلیون وبسایت شد

یک افزونه وردپرس پیدا شد که به مهاجمان اجازه می‌دهد اختیارات بیشتری پیدا کنند.

یک افزونه فوق‌العاده محبوب وردپرس در برابر یک حمله اسکریپت بین سایتی آسیب‌پذیر است که می‌تواند به‌عوامل تهدید اجازه دهد اطلاعات حساس را بدزدند و امتیازات را در وب‌سایت‌ها افزایش دهند.

محققان امنیتی Patchstack این نقص را کشف کردند و قبل از انتشار یافته‌های خود در وبلاگ خود، آن را به توسعه‌دهندگان گزارش دادند.

طبق گزارش، افزونه مورد بحث LiteSpeed Cache نام دارد، این یک افزونه بهینه‌سازی وب سایت است که برای بهبود عملکرد وب سایت طراحی شده است.

Patch منتشر شده است

این افزونه بیش از چهار میلیون نصب فعال دارد (Hacker News ادعا می‌کند پنج میلیون). این آسیب‌پذیری که به‌عنوان نقص «XSS ذخیره شده در سراسر سایت» توصیف می‌شود، می‌تواند با انجام یک درخواست HTTP مورد سوء استفاده قرار گیرد. اکنون به‌عنوان CVE-2023-40000 ردیابی می‌شود.

محققان در وبلاگ توضیح دادند: «این آسیب‌پذیری به این دلیل رخ می‌دهد که کدی که ورودی کاربر را کنترل می‌کند، پاک‌سازی و خروج خروجی را اجرا نمی‌کند». “این مورد همچنین با کنترل دسترسی نامناسب در یکی از نقاط پایانی REST API موجود از پلاگین ترکیب شده است.”

از زمان کشف، توسعه‌دهندگان LiteSpeed Cache یک پچ منتشر کردند. به کاربران توصیه می‌شود افزونه‌های خود را حداقل به نسخه – 5.7.0.1 به‌روز کنند و وب سایت خود را از مهاجمان احتمالی ایمن کنند. این پچ در اکتبر سال گذشته در دسترس قرار گرفت. به گزارش هکر نیوز، آخرین نسخه، 6.1، در 5 فوریه منتشر شد.

اخبار مرتبط: کشف آسیب‌پذیری در پلاگین Ultimate Member وردپرس

وردپرس اولین سازنده وب سایت در جهان است که تقریباً نیمی از اینترنت جهانی را تامین می‌کند. به این ترتیب، این یک هدف محبوب در میان هکرهایی است که به دنبال راه‌های آسان برای ورود به پایگاه‌های داده هستند، جایی که می‌توانند داده‌های حساس را بدزدند، کمپین‌های تبلیغاتی مخرب را نصب کنند، فیشینگ و موارد دیگر. با این حال، وردپرس به‌طور کلی ایمن در نظر گرفته می‌شود، برخلاف بسیاری از تم‌ها و افزونه‌های آن که معمولا ضعیف‌ترین پیوند در نظر گرفته می‌شوند.

پلاگین‌ها، به‌ویژه آنهایی که تجاری نیستند، اغلب توسط تیم‌های کوچک (یا افراد) ایجاد می‌شوند، گاهی اوقات رها می‌شوند و معمولاً به‌طور کارآمد نگهداری نمی‌شوند. به‌همین دلیل است که Patchstack، Wordfence و سایر شرکت‌های امنیتی وردپرس محور، اغلب در مورد یافتن و حذف اشکالات در افزونه‌ها و تم‌ها گزارش می‌دهند و نه خود وردپرس.

نظرات ارزشمند شما

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *