رفتن به مطلب
قوانین ایجاد موضوع جدید در انجمن

وصله شدن آسیب پذیری خطرناک xss در ورد پرس

Black_Sky

توسط Black_Sky،
در بحث آزاد

دنبال‌کننده 0

پست های پیشنهاد شده

Black_Sky

Black_Sky 6349

ارسال شده در
ارسال شده در

وصله شدن آسیب پذیری خطرناک xss در ورد پرس

آخرین نسخه ی سامانه ی مدیریت محتوای ورد پرس روز گذشته منتشر شد، نسخه ی 4.0.1 این سامانه آسیب پذیری خطرناک XSS که مربوط به بخش ثبت نظرات است را تحت تاثیر قرار می دهد.

به گزارش پايگاه اخبار امنيتي فن آوري اطلاعات و ارتباطات، مهاجم برای سوء استفاده از این آسیب پذیری باید یک جاوا اسکریپت مخرب را به یک نظر تزریق کند، این آسیب پذیری هم خواننده ای که از این وب گاه بازدید می کند و هم مدیری که برای دست رسی به داشبورد مدیریتی در وب گاه وارد می شود را تحت تاثیر قرار می دهد.

Jouko Pynnonen یک محقق امنیتی از کشور فنلاند، با انتشار جزییاتی از این آسیب پذیری را همزمان با انتشار نسخه ی جدید ورد پرس در یک فهرست رایانامه ای منتشر کرد.

در یک سناریوی حمله ی رایج با سوء استفاده از این آسیب پذیری، مهاجم یک نظر حاوی کد جاوا اسکریپت آلوده در وب گاه بارگذاری می کند، اما این آسیب پذیری برای کاربران عادی و موتورهای جست و جو قابل رویت نیست. زمانی که یک مدیر به داشبورد مراجعه می کند تا نظرات جدید را بخواند، کد جاوا اسکریپت با مجوز مدیر اجرا می شود.

محقق دیگری به نام Klikki Oy یک اثبات مفهومی منتشر کرده است که نشان می دهد مهاجم می تواند با کد جاوا اسکریپت گذرواژه ی مدیر وب گاه را تغییر دهد، هم چنین می تواند یک حساب کاربری جدید ایجاد و از ویرایش گر موجود در وب گاه برای بارگذاری کد آلوده ی PHP در کارگزار استفاده کند که با یک درخواست AJAX به کارگزار دست رسی سیستمی پیدا می کند. هم چنین مهاجم می تواند، کد آلوده ی نزریق شده را از پایگاه داده پاک کند.

حملات تزریق اسکریپت از طریق وب گاه یا XSS یکی از تهدیدات بسیار جدی برای وب گاه ها خصوصاً وب گاه های مبتنی بر سامانه ی مدیریت محتوا به شمار می آید.

آسییب پذیری ورد پرس در نسخه های 3.0 تا 3.9.2 برای مدت چهار سال است که وجود دارد، و در واقع مربوط به نحوه ی مدیریت عبارت های منظم در بخش نظرات است که در نسخه ی 4.0.1 از عبارت های منظم مشابهی استفاده نشده است.

به روز رسانی های نسخه ی جدید سه آسیب پذیری دیگر XSS و آسیب پذیری جلوگیری از سرویس مربوط به نحوه ی بررسی گذواژه ها را وصله کرده است.

ه
مزمان با انتشار نسخه ی جدید ورد پرس، شرکت Sucuri توصیه نامه ای را در مورد آسیب پذیری XSS موجود در افزونه ی WP-Statistics منتشر کرده است که در تمام نسخه های قدیمی تر از 8.3 موجود است. این آسیب پذیری در نسخه ی 8.3.1 وصله شده است.

از آن جایی که توضیحات فنی و نحوه ی استفاده از آسیب پذیری XSS وردپرس به صورت عمومی عرضه شده است، به کاربران توصیه می شود آخرین نسخه ی ورد پرس یعنی نسخه ی 4.0.1 را دریافت و نصب کنند تا از خطرات احتمالی این آسیب پذیری در امان باشند.
  • امتیاز 8
لینک به ارسال
مهمان
این موضوع برای عدم ارسال قفل گردیده است.
دنبال‌کننده 0
برو به فهرست موضوع ها
×
×
  • اضافه کردن...