نقص امنیتی، ۴ میلیون وب‌سایت وردپرس را در معرض خطر قرار داد

تیم اطلاعات تهدید Wordfence در وبلاگ خود نوشت که به‌طور مسئولانه یک آسیب‌پذیری اسکریپت‌نویسی بین‌سایتی (XSS) را در افزونه LiteSpeed Cache، افزونه‌ای محبوب که در بیش از ۴ میلیون سایت وردپرس نصب شده است، افشا کرده است. این آسیب‌پذیری به هکرهای دارای امتیاز مشارکت‌کننده اجازه می‌دهد تا اسکریپت‌های مخرب را با استفاده از کدهای کوتاه تزریق کنند.

افزونه LiteSpeed Cache افزونه‌ای است که با ذخیره‌سازی و بهینه‌سازی سطح سرور، سرعت وب‌سایت‌های وردپرس را افزایش می‌دهد. این افزونه یک کد کوتاه ارائه می‌دهد که می‌توان از آن برای ذخیره‌سازی بلوک‌ها با استفاده از فناوری Edge Side هنگام اضافه شدن به وردپرس استفاده کرد.

با این حال، Wordfence اعلام کرد که پیاده‌سازی کد کوتاه این افزونه ناامن است و اجازه می‌دهد اسکریپت‌های دلخواه در این صفحات درج شوند. بررسی کد آسیب‌پذیر نشان داد که روش کد کوتاه به طور کافی ورودی‌ها و خروجی‌ها را بررسی نمی‌کند. این امر به عامل تهدید اجازه می‌دهد تا حملات XSS را انجام دهد. پس از درج کد کوتاه در یک صفحه یا پست، هر بار که کاربر از آن بازدید می‌کرد، اسکریپت اجرا می‌شد.

Lỗi bảo mật khiến 4 triệu website WordPress gặp nguy hiểm - Ảnh 1. — LiteSpeed Cache یک افزونه معروف افزایش سرعت در پلتفرم وردپرس است.

در حالی که این آسیب‌پذیری نیاز به یک حساب کاربری مشارکت‌کننده در معرض خطر یا ثبت نام کاربر به عنوان مشارکت‌کننده دارد، Wordfence گفت که یک مهاجم می‌تواند اطلاعات حساس را سرقت کند، محتوای وب‌سایت را دستکاری کند، به مدیران حمله کند، فایل‌ها را ویرایش کند یا بازدیدکنندگان را به وب‌سایت‌های مخرب هدایت کند.

وردفنس اعلام کرد که در ۱۴ آگوست با تیم توسعه‌ی لایت‌اسپید کش (LiteSpeed Cache) تماس گرفته است. این وصله در ۱۶ آگوست نصب و در ۱۰ اکتبر برای وردپرس منتشر شد. اکنون کاربران باید لایت‌اسپید کش را به نسخه ۵.۷ به‌روزرسانی کنند تا این نقص امنیتی به‌طور کامل برطرف شود. اگرچه خطرناک است، اما ویژگی محافظت در برابر اسکریپت‌های میان‌سایتی (Cross-Site Scripting) داخلی فایروال وردفنس به جلوگیری از این سوءاستفاده کمک کرده است.

لینک منبع

برچسب: خطای امنیتی حفره امنیتی سرقت اطلاعات

نظر (0)

محبوب‌ترین

جدیدترین

No data