برترین افزونه ضد اسپم وردپرس ممکن است در واقع سایت شما را در معرض خطر حمله قرار دهد

شناسهٔ خبر: 820741 - تاریخ: نوامبر 27, 2024

مهدی نوروزی

(اعتبار تصویر: Pixabay)

محققان دو نقص در افزونه محبوب وردپرس پیدا کردند

نقص ها به عوامل تهدید اجازه می دهد تا پلاگین های مخرب را نصب کنند و کد دلخواه را اجرا کنند

یک وصله در حال حاضر در دسترس است، پس کاربران وردپرس باید همین الان به‌روزرسانی شوند

یک افزونه اصلی ضد هرزنامه برای سازنده وب سایت برتر وردپرس، دارای یک جفت آسیب پذیری شدید بود که به عوامل تهدید اجازه می داد به دلخواه خود افزونه ها را نصب کنند و حتی کد دلخواه را از راه دور اجرا کنند.

باگ‌ها از آن زمان اصلاح شده‌اند و به کاربران توصیه می‌شود در اسرع وقت آن‌ها را مستقر کنند.

این افزونه آسیب‌پذیر «محافظت از هرزنامه، ضد هرزنامه و فایروال» نام دارد و توسط CleanTalk، شرکتی که حفاظت از هرزنامه‌ها را برای وردپرس، جوملا، دروپال و سایر سازندگان وب‌سایت توسعه می‌دهد، ساخته شده است.

پلاگین محبوب

این افزونه دارای دو نقص بود: یکی به‌عنوان CVE-2024-10542 و دیگری به‌عنوان CVE-2024-10781 ردیابی شد. اولی دارای نمره شدت 9.8 - بحرانی، در حالی که دومی 8.1 - بالا است.

اولی یک اشکال غیرمجاز نصب پلاگین دلخواه است که به دلیل دور زدن مجوز از طریق جعل معکوس DNS در عملکرد checkWithoutToken رخ می دهد. در نتیجه، مهاجمان احراز هویت نشده می‌توانند افزونه‌های دلخواه را نصب و فعال کنند که در برخی سناریوها، می‌توان از آنها برای دستیابی به اجرای کد از راه دور استفاده کرد.

از سوی دیگر، مورد دوم، یک نصب غیرمجاز پلاگین دلخواه است که به دلیل تحلیل مقدار خالی از دست رفته در مقدار 'api_key' در عملکرد 'perform' رخ می دهد. نتایج یکسان است - دستیابی به اجرای کد از راه دور در سناریوهای خاص (زمانی که افزونه آسیب پذیر دیگری نصب و فعال می شود).

حفاظت از هرزنامه، ضد هرزنامه و فایروال یک افزونه اصلی وردپرس است که بر روی بیش از 200000 وب سایت در زمان انتشار نصب شده است. این باگ ابتدا توسط محققی با نام مستعار "mikemyers" مشاهده شد که یافته‌های خود را به WordFence گزارش کرد، پروژه‌ای که در مورد آسیب‌پذیری‌های وردپرس تحقیق می‌کند.

WordFence در اواخر اکتبر 2024 با CleanTalk تماس گرفت که چند روز بعد با یک پچ ارائه شد. WordFence گفت: "ما قصد داریم تیم CleanTalk را برای پاسخ سریع و وصله به موقع آنها تحسین کنیم."

بیشتر بخوانید

بورس پربازده ترین بازار مالی در۶ ماه نخست سال

از کاربران خواسته می شود تا سایت های خود را با آخرین نسخه وصله شده، که در زمان انتشار 6.45.2 بود، به روز کنند.

دیگر اخبار

برنامه‌های هوش مصنوعی iOS 18 اپل در گزارش جدید ارائه شده است – در اینجا 9 ویژگی جدید قابل انتظار است

شما هم ممکن است دوست داشته باشید

Sead یک روزنامه‌نگار آزاد کارکشته در سارایوو، بوسنی و هرزگوین است. او در مورد IT (ابر، اینترنت اشیا، 5G، VPN) و امنیت سایبری (باج افزار، نقض داده ها، قوانین و مقررات) می نویسد. او در طول بیش از یک دهه فعالیت حرفه ای خود برای رسانه های متعددی از جمله الجزیره بالکان نوشته است. او همچنین چندین ماژول در زمینه نوشتن محتوا برای Represent Communications برگزار کرده است.

خبرکاو