هاست و میزبانی

آسیب پذیری تازه ورد پرس

به گزارش Simon Scannell از سازمان RIPS Technology که مالکیت پروژه موفق و ابزار قوی RIPS را برعهده دارد، یک سری آسیب پذیری قدیمی در ورد پرس کشف شده که قدمتی ۶ ساله دارد! آره درست دیدین، چشماتونو نمالید … ۶ سال!

این باگ ها شامل دو آسیب پذیری خطرناک از جنس Local File Inclusion و Path Traversal می باشد که به هکر اجازه هک به وسیله دور می داد. دو تا خبر دارم براتون؛ یه خبر خوب یه خبر بد.

ابتدا خبر خوبو میگم: آسیب پذیری ابتدا یعنی Local File Inclusion در ورژن های ۴٫۹٫۹ و ۵٫۰٫۱ حل شده. خوشحال شدین؟ زیاد خوشحال نباشین چون آسیب پذیری دوم یعنی Path Traversal همچنان وصله نشده و همچنان احتمال هک شدن برای میلیون ها نفر وجود داره. یه خبر خوب دیگه هم همین اکنون برام اومده که میگه آسیب پذیری دوم فقط تو ورژن ۵٫۰٫۳ حل شده. پس عملا خبر بدی وجود نداره و اگه همین اکنون به ورژن ۵٫۰٫۳ ورد پرس بروز رسانی کنید از شر هر دو مشکل رها خواهید شد. 😉

ریشه این آسیب پذیری ها در ورودی های Post Meta ای هست که به وسیله خود ورد پرس بکار گرفته می شود یا افزونه ها و قالب هایی که با فولدر wp-content/uploads کار می کنند. به بیان ساده چه وقتی که با خود ورد پرس چه وقتی با افزونه ها و قالب های خود در حال آپلود یا تغییر تصویر هستید همون لحظه آسیب پذیرید و امکان رهگیری نشانی عبوری ورد پرس برای مدیریت تصویر های تغییر شده (Path Traversal) به وسیله هکر وجود دارد.

بیشتر بخوانید  راهنما حل ارور آپلود فایل با فرمت غیرمجاز در wordpress

آسیب پذیری تازه ورد پرس 2

 

در قدم بعد با کسب اطلاع از مسیرهایی که بوسیله ورد پرس برای میزبانی شما ساخت شده، هکر می تواند با تزریق اکسپلویت در توابع php که حین مدیریت عکسها فراخوانی می شوند کنترل جامع میزبانی را در دست بگیرد.

آسیب پذیری تازه ورد پرس 3

 

پیشنهاد ما به عزیزانی که در حال حاضر از ورد پرس استفاده می کنند این است که در وهله ابتدا سایت خود را بروز نگه دارید. متاسفانه بعضی برنامه نویسان، طراحان و مدیران سایت به دلایل تجاری سایت رو بروزرسانی نمی کنند یا دیر اقدام به بروز رسانی می کنند تا به زعم خودشون خیالشون از خراب نشدن سایت راحت باشه. این جمله یقیناً یک کلیشه هست اما حقیقت رو می‌بایست قبول کرد حتی اگر کلیشه باشه: یک سایت دارای ایراد بهتر از یک سایت هک شدس! پس حرف ما رو گوش کنید و همین الان برای بروز رسانی ورد پرس اقدام کنید! اگر در این گزینه به مشکلی بر خوردید یا خدای ناکرده بهتون حمله ای شد با ما تماس بگیرید.

 

برگرفته از [blog.ripstech.com , thehackernews.com]

 

منبع

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *