متن خبر

برترین افزونه ضد اسپم وردپرس ممکن است در واقع سایت شما را در معرض خطر حمله قرار دهد

برترین افزونه ضد اسپم وردپرس ممکن است در واقع سایت شما را در معرض خطر حمله قرار دهد

شناسهٔ خبر: 820741 -
مهدی نوروزی




امنیت
(اعتبار تصویر: Pixabay)

محققان دو نقص در افزونه محبوب وردپرس پیدا کردند

نقص ها به عوامل تهدید اجازه می دهد تا پلاگین های مخرب را نصب کنند و کد دلخواه را اجرا کنند

یک وصله در حال حاضر در دسترس است، پس کاربران وردپرس باید همین الان به‌روزرسانی شوند

یک افزونه اصلی ضد هرزنامه برای سازنده وب سایت برتر وردپرس، دارای یک جفت آسیب پذیری شدید بود که به عوامل تهدید اجازه می داد به دلخواه خود افزونه ها را نصب کنند و حتی کد دلخواه را از راه دور اجرا کنند.

باگ‌ها از آن زمان اصلاح شده‌اند و به کاربران توصیه می‌شود در اسرع وقت آن‌ها را مستقر کنند.

این افزونه آسیب‌پذیر «محافظت از هرزنامه، ضد هرزنامه و فایروال» نام دارد و توسط CleanTalk، شرکتی که حفاظت از هرزنامه‌ها را برای وردپرس، جوملا، دروپال و سایر سازندگان وب‌سایت توسعه می‌دهد، ساخته شده است.

این افزونه دارای دو نقص بود: یکی به‌عنوان CVE-2024-10542 و دیگری به‌عنوان CVE-2024-10781 ردیابی شد. اولی دارای نمره شدت 9.8 - بحرانی، در حالی که دومی 8.1 - بالا است.

اولی یک اشکال غیرمجاز نصب پلاگین دلخواه است که به دلیل دور زدن مجوز از طریق جعل معکوس DNS در عملکرد checkWithoutToken رخ می دهد. در نتیجه، مهاجمان احراز هویت نشده می‌توانند افزونه‌های دلخواه را نصب و فعال کنند که در برخی سناریوها، می‌توان از آنها برای دستیابی به اجرای کد از راه دور استفاده کرد.

از سوی دیگر، مورد دوم، یک نصب غیرمجاز پلاگین دلخواه است که به دلیل تحلیل مقدار خالی از دست رفته در مقدار 'api_key' در عملکرد 'perform' رخ می دهد. نتایج یکسان است - دستیابی به اجرای کد از راه دور در سناریوهای خاص (زمانی که افزونه آسیب پذیر دیگری نصب و فعال می شود).

حفاظت از هرزنامه، ضد هرزنامه و فایروال یک افزونه اصلی وردپرس است که بر روی بیش از 200000 وب سایت در زمان انتشار نصب شده است. این باگ ابتدا توسط محققی با نام مستعار "mikemyers" مشاهده شد که یافته‌های خود را به WordFence گزارش کرد، پروژه‌ای که در مورد آسیب‌پذیری‌های وردپرس تحقیق می‌کند.

WordFence در اواخر اکتبر 2024 با CleanTalk تماس گرفت که چند روز بعد با یک پچ ارائه شد. WordFence گفت: "ما قصد داریم تیم CleanTalk را برای پاسخ سریع و وصله به موقع آنها تحسین کنیم."

از کاربران خواسته می شود تا سایت های خود را با آخرین نسخه وصله شده، که در زمان انتشار 6.45.2 بود، به روز کنند.

شما هم ممکن است دوست داشته باشید

Sead یک روزنامه‌نگار آزاد کارکشته در سارایوو، بوسنی و هرزگوین است. او در مورد IT (ابر، اینترنت اشیا، 5G، VPN) و امنیت سایبری (باج افزار، نقض داده ها، قوانین و مقررات) می نویسد. او در طول بیش از یک دهه فعالیت حرفه ای خود برای رسانه های متعددی از جمله الجزیره بالکان نوشته است. او همچنین چندین ماژول در زمینه نوشتن محتوا برای Represent Communications برگزار کرده است.

خبرکاو

برچسب‌ها

اخبار مرتبط :

Windows 11 Recall در آزمایش رفتار نامناسبی دارد و راه‌حل بزرگ‌ترین مشکل مورد علاقه قدیمی است: آن را خاموش کنید، سپس دوباره روشن کنید.
TikTok برخی از فیلترهای زیبایی را برای افراد زیر 18 سال محدود می کند
پلت فرم صوتی Pocket FM به ابزارهای هوش مصنوعی کمک می کند تا فهرست محتوا را گسترش دهد
Raspberry Pi ماژول Compute 5 را برای برنامه های جاسازی شده راه اندازی کرد
Eyewa اکنون 150 فروشگاه فروش عینک در خاورمیانه دارد و فقط 100 میلیون دلار برای افزودن 100 فروشگاه دیگر جمع آوری کرده است.

ارسال نظر




تبليغات ايهنا تبليغات ايهنا

تمامی حقوق مادی و معنوی این سایت متعلق به خبرکاو است و استفاده از مطالب با ذکر منبع بلامانع است