نقص مهم در افزونه وردپرس که در بیش از ۳۰۰ هزار وب‌سایت استفاده شده

0
68
نقص مهم در افزونه وردپرس که در بیش از ۳۰۰ هزار وب‌سایت استفاده شده

یک افزونه وردپرس که در بیش از ۳۰۰ هزار وب سایت استفاده می‌شود دارای آسیب‌پذیری‌هایی است که به هکرها اجازه می دهد کنترل را به دست بگیرند.

محققان امنیتی در Wordfence دو نقص مهم در افزونه POST SMTP Mailer پیدا کردند.

اولین نقص این امکان را برای مهاجمان فراهم می‌کند تا کلید API احراز هویت افزونه را بازنشانی کنند و گزارش‌های حساس (از جمله ایمیل‌های بازنشانی رمز عبور) را در وب سایت آسیب دیده مشاهده کنند.

اگر یک هکر مخرب از این نقص سوء استفاده کند، می‌تواند پس از شروع بازنشانی رمز عبور به کلید دسترسی پیدا کند. سپس می‌تواند وارد سایت شود، کاربر قانونی را مسدود کند، و از دسترسی آنها برای ایجاد انواع فعالیت‌ها استفاده کند – از جمله انتشار محتوای غیرمجاز، پیوند به صفحات وب مخرب، یا ایجاد درهای پشتی.

دومین نقص در این افزونه به هکرها اجازه می‌دهد تا اسکریپت‌های مخرب را به صفحات وب تزریق کنند.

محققان Wordfence با توسعه‌دهندگان پلاگین POST SMTP Mailer در مورد اولین نقص در ۸ دسامبر ۲۰۲۳ تماس گرفتند و در همان روز  POC را ارائه کردند که نشان می‌داد چگونه می‌توان از آن سوء استفاده کرد.

در هفته قبل از کریسمس، محققان دوباره با توسعه‌دهندگان تماس گرفتند – این بار در مورد آسیب پذیری دوم.

توسعه دهندگان این افزونه در تعطیلات کریسمس و سال نو برای رفع ایرادات کار کردند و فایل به روز رسانی (نسخه 2.8.8 پلاگین POST SMTP Mailer) در ۱ ژانویه ۲۰۲۴ منتشر کردند که به رفع مشکلات امنیتی پرداخته است.

با این حال، همانطور که Bleeping Computer اشاره می‌کند، آمار این افزونه نشان می‌دهد که در حال حاضر تنها ۵۳ درصد از نصب‌ها آخرین نسخه به روز شده را اجرا می‌کنند، به این معنی که تقریباً ۱۵۰ هزار وب‌سایت آسیب‌پذیر هستند.

بیش از ده سال است که وردپرس امکان به روز رسانی خودکار افزونه‌ها را معرفی کرده است – اما همچنان گزینه‌ای است که باید برای هر افزونه جداگانه فعال شود.

اگر یک وب‌سایت مبتنی بر وردپرس را اجرا می‌کنید که از افزونه POST SMTP Mailer استفاده می‌کند، مطمئن شوید سایت شما از آخرین نسخه وصله‌شده افزونه (نسخه 2.8.9 در زمان نوشتن) استفاده می‌کند.

منبع: https://www.tripwire.com/state-of-security/critical-flaw-found-wordpress-plugin-used-over-300000-websites

مقاله قبلیبرخی از آمار مهم امنیت سایبری برای سال ۲۰۲۴
مقاله بعدیمرورگر کروم را آپدیت کنید

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.