در نسخه‌ی ۴.۷.۵ وردپرس شش آسیب‌پذیری وصله شده که نسخه‌های ۴.۷.۴ و قبل‌تر را تحت تأثیر قرار داده بود. این آسیب‌پذیری‌ها عبارتند از: اسکریپت بین-وب‌گاهی (XSS)، جعل درخواست بین-وب‌گاهی (CSRF) و جعل درخواست سمت کارگزار (SSRF).

آسیب‌پذیری CSRF در مسابقات نفوذ به وردپرس در تابستان سال ۲۰۱۶ میلادی توسط محققان Securify کشف شده بود که توسعه‌دهندگان وردپرس اینک آن را وصله کرده‌اند. محققان در مشاوره‌نامه‌ی خود گفتند: «بر روی وب‌گاه‌هایی که تحت تأثیر این آسیب‌پذیری قرار گرفته‌اند، می‌توان با بهره‌برداری از این آسیب‌پذیری، تنظیمات ارتباطات SSH و FTP را بازنویسی کرد. مهاجم با این آسیب‌پذیری می‌تواند مدیر وب‌گاه را طوری فریب دهد که وارد کارگزار مهاجم شده و گواهی‌نامه‌های خود را افشاء کند.»

آسیب‌پذیری SSRF با شناسه‌ی CVE-۲۰۱۷-۹۰۶۶ توسط توسعه‌دهندگان وردپرس یک اشکال در اعتبارسنجی ناکافی بر روی درخواست‌های HTTP توضیح داده شده است. محقق امنیتی که این آسیب‌پذیری را کشف کرده، گفته است به زودی جزئیات و کد اثبات مفهومی این آسیب‌پذیری را بر روی بستر HackerOne منتشر خواهد کرد.

آسیب‌پذیری XSS نیز به بارگذاری پرونده‌هایی با اندازه‌ی بزرگ برمی‌گردد. یک آسیب‌پذیری دیگر XSS نیز توسط گروه امنیتی وردپرس در ویژگی Customizer کشف شده است. یکی دیگر از اعضای گروه امنیت وردپرس نیز آسیب‌پذیری را کشف کرده که مربوط به واسط برنامه‌نویسی XML-RPC بوده و بررسی‌های کافی بر روی اَبرداده‌های یک پست انجام نمی‌دهد. در نسخه‌ی جدید وردپرس یک آسیب‌پذیری دیگر نیز بر روی همین واسط برنامه‌نویسی وصله شده است.

وردپرس این هفته اعلام کرد که می‌خواهد برنامه‌ی پاداش در ازای اشکال راه‌اندازی کند که تمامی پروژه‌های این سامانه‌ی مدیریت محتوا را پوشش می‌دهد. همچنین محققان امنیتی تشویق شده‌اند تا آسیب‌پذیری‌هایی را که کشف می‌کنند بر روی وب‌گاه‌های مختلف وردپرس گزارش دهند. وردپرس قبلا برنامه‌ی پاداش در ازای اشکال را به‌طور خصوصی برگزار می‌کرد و تاکنون به ۷ محقق امنیتی مقدار ۳۷۰۰ دلار جایزه داده است.

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

در وردپرس ۴.۷.۵ شش آسیب‌پذیری وصله شد

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *