آسیب‌پذیری خطرناک در افزونه‌ی وردپرس

یک آسیب‌پذیری خطرناک اجرای کد از راه دور در افزونه‌ی محبوب وردپرس که برای مدیریت بارگیری پرونده‌ها می‌باشد به‌تازگی کشف شده است که به گفته‌ی پژوهش‌گران مهاجمان نه‌چندان خبره می‌توانند به راحتی از این آسیب‌پذیری سوء‌استفاده کنند و کد مخرب خود را در وب‌گاه آسیب‌پذیر اجرا کنند. 
 
آسیب‌پذیری در افزونه‌ی WP Download Manager نسخه های ۲.۷.۴ و قدیمی‌تر وجود دارد و مهاجمان به راحتی می‌توانند از این آسیب‌پذیری سوء‌استفاده کرده و یک با ایجاد یک درپشتی که تشخیص آن اصلاً ساده نیست،  دست‌رسی به وب‌گاه را برای همیشه برای خود ایجاد کنند. 
این آسیب‌پذیری توسط پژوهش‌گران شرکت امنیتی Sucuri کشف شده است، و بلافاصله نسخه‌ی جدید این افزونه توسط توسعه‌دهنگان منتشر شده است. 
 
آسیب‌پذیری در واقع مربوط به روشی است که افزونه برای مدیریت برخی درخواست‌های خاص Ajax به کار می‌گیرد، هیچ‌گونه بررسی امنیتی قبل از اجرای فراخوانی‌های این درخواست‌های خاص صورت نمی‌گیرد، درصورتی که نام کاربری مدیر وب‌گاه به صورت شناخته‌شده‌ای باشد و یا از نام کاربری پیش‌فرض استفاده شده باشد، مهاجم می‌تواند یک درپشتی در وب‌گاهایجاد کند و یا گذرواژه‌ی مدیر را تغییر دهد. 
 
ورد‌پرس سامانه‌ی مدیریت محتوای متن‌بازِ محبوبی است که توسط بسیاری از افراد و سازمان‌ها برای وب‌گاه‌های شخصی و حتی سازمانی استفاده می‌شود. افزونه‌ی WP Download Manager نیز در بیش از ۸۰۰ هزار وب‌گاه نصب شده است، اگرچه این تعداد خیلی بالا نیست، اما از آن‌جایی کهسوء‌استفاده از آسیب‌پذیری بسیار ساده است، خطر جدی را متوجه این وب‌گاه‌ها می‌کند. 
 
در حال حاضر نسخه‌ی ۲.۷.۷ این افزونه منتشر شده است، به کاربران توصیه می‌شود در صورت استفاده از این افزونه آن را به‌روز‌رسانی کنند و در صورتی که در دو هفته‌ی گذشته در وب‌گاه آن‌ها رفتار مشکوکی مشاهده شده است، از آن‌جایی که احتمال وجود درپشتی وجود دارد، وب‌گاه خود را از نسخه‌ی پشتیبان دوباره راه‌اندازی کنند.  
 
اخبار مرتبط:
0
هنوز هیچ ستاره‌ای موجود نیست.