ورد پرس مخفیانه در حال برطرف کردن راه نفوذ خطرناک Code Injection است

ورد پرس مخفیانه در حال برطرف کردن راه نفوذ خطرناک Code Injection است

ورد پرس مخفیانه در حال برطرف کردن راه نفوذ خطرناک Code Injection است

توسعه دهندگان سیستم مدیریت محتوا WordPress هفته گذشته یک بروزرسانی را ارائه کرده اند، اما عمدا در اعلام این بروزرسانی که یک آسیب پذیری شدید را برطرف نموده است تاخیر کرده اند.

WordPress نسخه 4.7.2 که در تاریخ 26 ژانویه ارائه شده است یک بروزرسانی امنیتی می باشد، اما یادداشت ارائه شده به همراه آن تنها رفع سه آسیب پذیری با خطر متوسط بوده که یکی از آنها حتی کد هسته پلتفرم را تحت تاثیر قرار نداده است.

در روز چهارشنبه، یک هفته بعد از آن، تیم امنیتی WordPress اعلام کرد که آسیب پذیری چهارمی نیز وجود داشته، و بسیار مهمتر از موارد ذکر شده بوده و در نسخه 4.7.2 برطرف شده است.

این آسیب پذیری توسط محققان شرکت امنیتی وب Sucuri کشف شده و در تاریخ 20 ژانویه به صورت خصوصی به تیم WorPress اعلام شده است. این آسیب پذیری در REST API قرار داشته است و به هکری که احراز هویت نشده اجازه می داده است که هر پست و یا صفحه ای که در سایت بوده است را تغییر دهد.

در روز چهارشنبه Aaron Campbell توسعه دهنده هسته WordPress در پستی اعلام کرد: ” ما اعتقاد داریم شفافیت به نفع مردم است. موضع ما این است که مسائل مربوط به امنیت همیشه باید اعلام شود. در این مورد، برای اطمینان از امن بودن میلیون ها سایت مبتنی بر WordPress عمدا با یک هفته تاخیر این مورد را اعلام کردیم. “

بر اساس گفته های Campbell، بعد از فهمیدن این نقص، توسعه دهندگان WordPress به شرکت های امنیتی که معروفترین فایروال های برنامه های مبتنی بر وب را دارند رجوع کرده، تا آنها بتوانند قوانین محافظتی را در برابر سوء استفاده های احتمالی ایجاد نمایند. سپس آنها با شرکت های بزرگ میزبانی کننده WordPress تماس گرفته و به آنها نحوه پیاده سازی توصیه های امنیتی را توضیح داده تا آنها بتوانند تا قبل از ارائه Patch از مشتریان خود محافظت نمایند.

این آسیب پذیری فقط WordPress نسخه 4.7 و 4.7.1 را تحت تاثیر قرار داده است، جایی که REST API به صورت پیش فرض فعال است. نسخه های قدیمیتر تحت تاثیر قرار نگرفته اند، حتی اگر افزونه REST API را نیز داشته اند.

Campbell افزود: ” ما همچنین از WAF ها و شرکت های میزبان که از نزدیک با ما همکاری کرده و حفاظت اضافی ایجاد کرده تشکر می کنیم، آنها همچنین سیستم های خود را به منظور تلاش برای جلوگیری از سوء استفاده نظارت کرده اند. تا این زمان، هیچ اقدامی برای سوء استفاده از آن صورت نگرفته است.”

همچنان که این خبر خوبی است اما، این بدان معنا نیست که هکرها سوء استفاده از این مورد را شروع نکرده اند. WordPress محبوب ترین پلتفرم برای ایجاد سایت می باشد به همین دلیل هدف خوبی برای هکرها می باشد. Webmaster ها اگر هنوز هیچ اقدامی نکرده اند، باید سایت های WordPress خود را هر چه زودتر به نسخه 4.7.2 ارتقاء دهند.

افزودن دیدگاه جدید

دیدگاه های شما

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Main Menu x
X