تأثیر پچ‌های جدید وردپرس 6.0.2 بر میلیون‌ها سایت قدیمی

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir wordpress 602 patches vulnerability could impact millions legacy sites
تیم وردپرس این هفته از انتشار نسخه 6.0.2 سیستم مدیریت محتوا (CMS) با پچ‌های سه باگ امنیتی، از جمله آسیب‌پذیری تزریق SQL با شدت بالا خبر داد.

این مشکل در عملکرد لینک وردپرس، که قبلاً به عنوان «Bookmarks» شناخته می‌شد، شناسایی گردید، این مشکل تنها بر نصب‌های قدیمی‌تر تأثیر می‌گذارد، زیرا این قابلیت به طور پیش‌فرض در نصب‌های جدید غیرفعال است.

تیم Wordfence در شرکت امنیتی وردپرس با نام Defiant می‌گویند: "با این حال، این عملکرد ممکن است همچنان در میلیون‌ها سایت قدیمی وردپرس فعال باشد، حتی اگر آن‌ها نسخه‌های جدیدتر CMS را اجرا کنند."

مجموعه Wordfence در ادامه می‌گوید: "با امتیاز CVSS 8.0، نقص امنیتی به اختیارات مدیریتی نیاز دارد و در پیکربندی‌های پیش‌فرض به راحتی نمی‌توان از آن بهره‌برداری کرد، اما ممکن است پلاگین‌ها یا تم‌هایی وجود داشته باشند که به کاربرانی با اختیارات پایین‌تر (مانند سطح ویرایشگر و پایین‌تر) اجازه راه‌اندازی آن را می‌دهند."

مجموعه Wordfence توضیح می‌دهد: «نسخه‌های آسیب‌پذیر وردپرس نتوانستند آرگومان محدود جستجوی بازیابی لینک را در فانکشن get_bookmarks که برای اطمینان از بازگشت تعداد معینی از پیوند‌ها استفاده می‌شود، با موفقیت پاکسازی کنند.

در پیکربندی پیش‌فرض، تنها ویجت قدیمی Links فانکشن را به گونه‌ای فراخوانی می‌کند که کاربر بتواند آرگومان حد را تنظیم کند. با این حال، به دلیل حفاظت در ویجت‌های قدیمی، این آسیب‌پذیری برای بهره‌برداری بی‌اهمیت است.

هر دو آسیب‌پذیری باقی‌مانده در وردپرس 6.0.2 باگ‌های اسکریپت‌نویسی متقابل سایت (XSS) با شدت متوسط ​​هستند که به دلیل استفاده از عملکرد «the_meta» و خطا‌های غیرفعال‌سازی و حذف افزونه ایجاد می‌شوند.

بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها می‌تواند منجر به اجرای اسکریپت‌های تزریق شده در کلید‌ها و مقادیر پست یا کد جاوا اسکریپت در پیام‌هایی شود که هنگام غیرفعال شدن یا حذف افزونه‌ها به دلیل خطا نمایش داده می‌شوند.

به ادمین‌های وب‌سایت‌ها توصیه می‌شود در اسرع وقت نسخه‌های خود را به وردپرس 6.0.2 بروزرسانی کنند (بروزرسانی به طور خودکار به سایت‌هایی که از بروزرسانی‌های پس‌زمینه پشتیبانی می‌کنند ارائه می‌شود). تیم وردپرس خاطرنشان می‌کند که پچ‌ها به وردپرس 3.7 و نسخه‌های جدیدتر بکپورت شده‌اند.

برچسب ها: Link, Bookmarks, Content Management System, تم, پلاگین‌, getBookmarks, پچ, Cross-Site Scripting, وردپرس, افزونه, WordPress, Plugin, XSS, Patch, باگ, bug, SQL injection, آسیب‌پذیری, Vulnerability, CVSS, CMS, Cyber Security, حملات سایبری, SQL, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ