آسیب پذیری کشف شده در وردپرس - بهمن ماه 1401
حملات اتوماتیک که معمولا با استفاده از رباتها انجام میشود و نقاط آسیب شناخته شده را هدف قرار میدهند ، یکی از دلایل اصلی به خطر افتادن سایت های وردپرسی است. از آن جاییکه گزارشهای آسیب پذیری و و ارائه راه حلهای بررسی و رفع موارد ذکر شده برای آگاهی و آموزش امنیت وب سایت ضروری است ؛ در ادامه این مقاله برای کمک به صاحبان وبسایتها در مورد تهدیدات و آسیب پذیری های جدید ، فهرستی از بهروزرسانیهای امنیتی مهم را برای وردپرس گردآوری کردهام.
آسیب پذیری هسته وردپرس
نسخه 6.1.1 که آخرین نسخه ارائه شده وردپرس درحال حاضر است، موارد امنیتی و امکانات بیشتری را ارائه داده است ، در این نسخه تعداد زیادی باگ و مشکل امنیتی برطرف شده است. توصیه میشود هسته وردپرس به آخرین نسخه ذکر شده آپدیت شود.
آسیب پذیری افزونه های وردپرس
در این بخش افزونه های آسیب پذیر وردپرس که برای آنها آپدیت ارائه شده است ، به همراه نسخه آسیب پذیر و نسخه رفع شده آن ارائه میشود.
افزونه duplicator
- database.php
- installer.php
- nstaller-backup.php
- installer-log.txt
- installer-data.sql
این افزونه دارای آسیب پذیری Unauthenticated Cache Poisoning است. در واقع اگر مهاجم به هر نحوی بتواند مقادیر نادرستی را برای نامدامنهای به Cache تزریق کند، میتواند تمام کاربرانی را که از آن سرور Recursive استفاده میکنند را به سمت دیگری گمراه کند، این آسیب پذیری در نسخه 1.9 برطرف شده است.
افزونه Kadence WooCommerce Email Designer
این افزونه دارای آسیب پذیری PHP Objection Injection است. این آسیبپذیری زمانی رخ میدهد که ورودی ارائه شده توسط کاربر قبل از ارسال به تبع (unserialize)به درستی حذف نشده باشد. این آسیب پذیری در نسخه 1.5.7 برطرف شده است.
افزونه Anti-Spam by CleanTalk
این افزونه دارای آسیب پذیری SQL Injection است و در نسخه 5.185.1 مرتفع شده است.
افزونه Manage Notification E-mails
این افزونه دارای آسیب پذیری بازگردانی تنظیمات با استفاده از CSRF را دارد و در نسخه 1.8.3 مرتفع شده است.
افزونه Smart Slider 3
این افزونه دارای آسیب پذیری PHP Object Injection است و در نسخه 3.5.1.11 مرتفع شده است.
افزونه eCommerce Product Catalog
این افزونه دارای آسیب پذیری Reflected XSS است و در نسخه 3.0.71 مرتفع شده است.
افزونه Complianz
این افزونه دارای آسیب پذیری SQL injection است و در نسخه 6.3.4 مرتفع شده است.
افزونه Import and export users and customers
این افزونه دارای آسیب پذیری CSV Injection است، این آسیب پذیری زمانی رخ می دهد که یک وبسایت اطلاعات دریافت شده از کاربر را بدون هیچ گونه ایمن سازی وارد فایل CSV کند. در نسخه ۱.۲۰.۵ مرتفع شده است.
آسیب پذیری افزونه های وردپرس
در ادامه لیست افزونه های آسیب پذیر وردپرس را که برای آن آپدیت ارائه نشده است را میخوانید. با توجه به عدم رفع این آسیب پذیری ها در صورت استفاده از این افزونه ها توصیه میشود در اولین فرصت اقدام به حذف آنها کنید.
- افزونه Booking Ultra Pro آسیب پذیری CSRF
- افزونه LBStopAttack آسیب پذیری CSRF
- افزونه Post to CSV by BestWebSoft آسیب پذیری CSV Injection
- افزونه WP Total Hacks آسیب پذیری Stored XSS
- افزونه WP Word Count آسیب پذیری Stored XSS
آسیب پذیری قالب های وردپرس
در این بخش تم Newspaper وردپرس که دارای آسیب پذیری است توضیح داده میشود و نسخه رفع شده آن نیز ارائه داده می شود.
قالب Newspaper
این تم دارای آسیب پذیری Reflected Cross-Site Scripting است. زمانی که برنامه کاربردی، دادههای دریافتی از URL را به روشی ناامن نمایش دهد، مهاجم میتواند از طریق ارسال لینک به قربانیان و یا با انتشار آن در فروم، کاربران قربانی را به دام انداخته و توسط آسیب پذیری Reflected XSS اسکریپتهایی را روی مرورگر کاربران اجرا کند. این آسیب پذیری در نسخه 12 مرتفع شده است.
سخن پایانی
همانطور که میدانید شناسایی و رفع آسیب پذیری های کشف شده در وردپرس اقدامی موثر در افزایش امنیت سایت شما به حساب میآید. پس حتما با رعایت نکاتی که در این مقاله به آن اشاره کردم امنیت سایت حود را افزایش دهید. در نهایت برای اینکه درباره امنیت وردپرس ، شبکه و برنامههای کامپیوتری بیشتر بدانید و یاد بگیرید ، پیشنهاد میکنم به بخش آموزش وردپرس در وبلاگ سلطان وب مراجعه کنید.
