هاست و میزبانی

آسیب پذیری تازه wordpress

به گزارش Simon Scannell از سازمان RIPS Technology که مالکیت پروژه موفق و ابزار قوی RIPS را برعهده دارد، یک سری آسیب پذیری قدیمی در wordpress کشف شده که قدمتی ۶ ساله دارد! آره درست دیدین، چشماتونو نمالید … ۶ سال!

این باگ ها شامل دو آسیب پذیری خطرناک از جنس Local File Inclusion و Path Traversal می باشد که به هکر اجازه هک به وسیله دور می داد. دو تا خبر دارم براتون؛ یه خبر خوب یه خبر بد.

ابتدا خبر خوبو میگم: آسیب پذیری ابتدا یعنی Local File Inclusion در ورژن های ۴٫۹٫۹ و ۵٫۰٫۱ حل شده. خوشحال شدین؟ زیاد خوشحال نباشین چون آسیب پذیری دوم یعنی Path Traversal همچنان وصله نشده و همچنان احتمال هک شدن برای میلیون ها نفر وجود داره. یه خبر خوب دیگه هم همین حالا برام اومده که میگه آسیب پذیری دوم فقط تو ورژن ۵٫۰٫۳ حل شده. پس عملا خبر بدی وجود نداره و اگه همین حالا به ورژن ۵٫۰٫۳ wordpress بروز رسانی کنید از شر هر دو مشکل رها خواهید شد. 😉

ریشه این آسیب پذیری ها در ورودی های Post Meta ای هست که با استفاده خود wordpress بکار گرفته می شود یا افزونه ها و قالب هایی که با فولدر wp-content/uploads کار می کنند. به بیان ساده چه وقتی که با خود wordpress چه وقتی با افزونه ها و قالب های خود در حال آپلود یا تغییر تصویر هستید همون لحظه آسیب پذیرید و امکان رهگیری نشانی عبوری wordpress برای مدیریت تصویر های تغییر شده (Path Traversal) با استفاده هکر وجود دارد.

آسیب پذیری تازه wordpress 2

 

در قدم بعد با کسب اطلاع از مسیرهایی که بوسیله wordpress برای میزبانی شما ساخت شده، هکر می تواند با تزریق اکسپلویت در توابع php که حین مدیریت عکسها فراخوانی می شوند کنترل جامع میزبانی را در دست بگیرد.

بیشتر بخوانید  اموزش تولید Subdomian در Plesk

آسیب پذیری تازه wordpress 3

 

پیشنهاد ما به عزیزانی که در حال حاضر از wordpress استفاده می کنند این است که در وهله ابتدا سایت خود را بروز نگه دارید. متاسفانه بعضی برنامه نویسان، طراحان و مدیران سایت به دلایل تجاری سایت رو بروزرسانی نمی کنند یا دیر اقدام به بروز رسانی می کنند تا به زعم خودشون خیالشون از خراب نشدن سایت راحت باشه. این جمله مسلماً یک کلیشه هست اما حقیقت رو می‌بایست قبول کرد حتی اگر کلیشه باشه: یک سایت دارای ایراد بهتر از یک سایت هک شدس! پس حرف ما رو گوش کنید و همین اکنون برای بروز رسانی wordpress اقدام کنید! اگر در این گزینه به مشکلی بر خوردید یا خدای ناکرده بهتون حمله ای شد با ما تماس بگیرید.

 

برگرفته از [blog.ripstech.com , thehackernews.com]

 

منبع

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *