وردپرس نسخه‌ی ۴.۸.۲، تعداد ۹ آسیب‌پذیری که نسخه‌ی ۴.۸.۱ و قبل از آن را تحت تاثیر قرار می‌داد، از جمله آسیب‌پذیری‌های اسکریپت‌های بین-وب‌گاهی (XSS)، تزریق SQL و تغییر مسیر باز را وصله کرد.

این به‌روزرسانی امنیتی به آسیب‌پذیری احتمالی تزریق SQL می‌پردازد که به‌علت تابع ایجاد نمایش‌های غیرمنتظره و ناامن $wpdb->prepare() وجود دارد. این آسیب‌پذیری که توسط یک محقق با نام کاربری برخط «Slavco» گزارش شده است، به‌طور مستقیم هسته‌ی وردپرس را تحت تاثیر قرار نمی‌دهد، اما توسعه‌دهندگان سختی‌هایی را ایجاد کرده‌اند تا افزونه‌ها و قالب‎ها به‌طور تصادفی باعث ایجاد آسیب‌پذیری نشوند.

در مجموع، پنج آسیب‌پذیری XSS، از جمله کشف oEmbed، ویرایشگر ویژوال، ویرایشگر افزونه، نام الگو و مدل پیوند، در آخرین نسخه‌ی وردپرس وصله شده است. این حفره‌های امنیتی توسط رودولفو آسیس از Sucuri، چن روکی، آناس روبی، یک محقق کرواسی با نام برخط «Sikic» و یک عضو گروه امنیتی وردپرس کشف و گزارش شده‌اند.

یکی دیگر از اعضای گروه امنیتی وردپرس، آسیب‌پذیری پیمایش مسیر را در Customizer کشف کرد. آسیب‌پذیری مشابهی نیز توسط الکس چپمن در کد پرونده‌ی unzipping پیدا شد. در نهایت، وردپرس ۴.۸.۲ موضوع تغییر مسیر باز کاربر را رفع کرده و ویرایش صفحه‌نمایش توسط یاسین سلیمان را وصله کرد. با توجه به محبوبیت وردپرس، تعجب‌آور نیست که به‌عنوان هدفمندترین سامانه‌ی مدیریت محتوا (CMS) می‌باشد و غیرمعمول نیست که در مدت کوتاهی پس افشای آسیب‌پذیری‌ها، نفوذگرها شروع به بهره‌برداری از آن‌ها می‌کنند.

وردپرس به‌منظور تشویق نفوذگرهای کلاه سفید برای افشای صحیح آسیب‌پذیری‌ها، یک برنامه‌ی پاداش در ازای اشکال را در ماه آوریل راه‌اندازی کرد. درحالی‌که وردپرس تنها تعدادی از پاداش‌هایی که به محققان پرداخت شده را افشاء کرده است، بالاترین پاداش تا این تاریخ، ۱۳۳۷ دلار، برای جعل درخواست بین-وب‌گاهی (CSRF) بوده است. آسیب‌پذیری‌های اعلام شده توسط دیگر نفوذگرها، ۱۵۰ تا ۴۰۰ دلار به‌دست آورده‌اند.

منبع: asis

درباره نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

۹ آسیب‌پذیری در نسخه‌ی جدید وردپرس وصله شد

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *