3 وصله آسیب پذیری در سامانه مدیریت محتوای وردپرس

۳ وصله آسیب پذیری در سامانه مدیریت محتوای وردپرس

توسعه‌دهندگان وردپرس نسخه‌ی ۴.۷.۲ این سامانه‌ی مدیریت محتوا را منتشر کردند تا ۳ آسیب‌پذیری موجود در نسخه‌ی قبلی برطرف شود.

اولین آسیب پذیری، تزریق SQL در کلاس WP_Query بود. این کلا س، پیچیدگی‌ها و ریز‌ه ‌کاری‌های مربوط به ارسال یک پست بر روی وبلاگ را مدیریت می‌کند. این آسیب‌پذیری توسط توسعه‌دهنده‌ای به نام محمد جنگدا گزارش شده و زمانی ‌که داده ‌های ناامنی به عنوان ورودی به این کلاس وارد شود، قابل بهره‌ برداری است. درحالی ‌که این آسیب ‌پذیری، هسته‌ی وردپرس را تحت تأثیر قرار نداده ولی بهبودهایی در آن ایجاد شده تا به‌ طور اتفاقی مشکلی برای هسته‌ی وردپرس و افزونه ‌ها پیش نیاید.

دومین آسیب پذیری که در نسخه‌ی ۴.۷.۲ وصله شده، آسیب‌پذیری XSS است که در جدول فهرست پست‌ ها وجود داشت و توسط یکی از اعضای  گروه امنیتی وردپرس کشف شد.

دیوید هر را محقق امنیتی دیگری است که یک آسیب‌پذیری کنترل دسترسی را در وردپرس کشف کرد. او متوجه شد در بخش تعیین اصطلاحات طبقه‌بندی، این اطلاعات حتی به کاربرانی که هیچ مجوزی ندارند نیز نمایش داده می‌شود.

هرچند وردپرس در توضیحات خود اعلام کرده هیچ یک از این آسیب‌پذیر‌ی‌ها حیاتی و مهم نیستند با این‌حال US-CERT مشاوره ‌نامه‌ای منتشر کرده و گفته است: «یک مهاجم از راه دور می‌تواند از این آسیب‌پذیری‌ها بهره‌برداری کرده و کنترل وب‌گاه آسیب‌پذیر را دست بگیرد.»

 نسخه‌ی ۴.۷.۲ وردپرس کمتر از دو هفته بعد از انتشار ۴.۷.۱ منتشر شد. در این نسخه‌ی جدید ۶۲ اشکال و ۸ حفره‌ی امنیتی برطرف شد. این حفره‌های امنیتی شامل اشکالات افشای اطلاعات، اجرای کد از راه دور، CSRF، XSS و اشکالات مربوط به رمزنگاری بود.

 وردپرس در حال حاضر یکی از مهم ‌ترین سامانه‌های مدیریت محتواست که هدف حملات نفوذگران قرار گرفته است. به گزارش شرکت امنیت وب SUCURI، اکثریت وب‌گاه‌هایی که در سال گذشته مورد نفوذ قرار گرفته‌اند بر روی وردپرس اجرا می‌شدند. اخیراً تحقق جامعی توسط مؤسسه‌ی فناوری RIPS انجام شد که نشان می‌داد ۸۸۰۰ مورد از افزونه‌های موجود بر روی وب‌گاه رسمی وردپرس، حداقل دارای یک آسیب‌پذیری هستند.

شبنم منفرد

Comment

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

سعی در ارائه تعریف جدیدی از راهکارهای امنیتی به همراه خدمات فنی و مهندسی

تماس با ما

تهران، میدان تجریش، خیابان سعدآباد ، خیابان افراز، پلاک 17 واحد همکف
تلفن های تماس:
6425 2271 21 0098
4093 2685 21 0098
4701 2685 21 0098
تمام حقوق این وب سایت برای شرکت پارس سیف نرم افزار محفوظ می باشد.
طراحی و اجرا : TodayMarketers

همراه گرامی
شرکت پارس سیف سافت نرم افزار آسیا (سیف سافت) در راستای توسعه مجموعه خود ازاین پس با آدرس و شماره های جدید در خدمت شما عزیزان خواهد بود.
آدرس جدید :
تهران، میدان تجریش، خیابان سعدآباد ، خیابان افراز، پلاک 17 واحد همکف
تلفن های تماس:

 6425 2271 21 0098
4093 2685 21 0098
4701 2685 21 0098

با احترام فراوان
سیف سافت