آسیب پذیری های کشف شده در وردپرس

آسیب پذیری در وردپرس

همانطور که می‌دانید آسیب پذیری های افزونه‌ها و تم های وردپرس دلیل اصلی هک شدن وبسایت‌های وردپرسی است. ما در گزارش‌های ماهانه سعی می‌کنیم لیست این افزونه‌ها و تم‌های آسیب پذیر را برای شما ارائه دهیم تا اقدامات لازم جهت بروزرسانی یا حذف آن‌ها انجام شود.

هر کدام از این آسیب پذیری ها دارای شدت‌های کم، متوسط، زیاد و بحرانی است که می‌بایست اقدامات متناسب با آن‌ها انجام شود. در ادامه این مطلب با آسیب پذیری های کشف شده وردپرس آشنا شوید.

آسیب پذیری هسته ورد پرس

نسخه ۶٫۱ وردپرس که در تاریخ November 1, 2022 ارائه شد، تغییرات اساسی در این نسخه انجام شده است و گزارش کامل آن در سایت https://wordpress.org/support/wordpress-version/version-6-1/ قابل مشاهده است.

علاوه‌بر این نسخه ۶٫۱٫۱ وردپرس در تاریخ November 15, 2022 ارائه شد که طی آن ۲۹ باگ موجود در هسته وردپرس مرتفع شد. این آپدیت‌ها از نوع اصلی است و توصیه می‌شود به آخرین نسخه بروزرسانی شود.

از آن جایی‌که در اخبار دیگر بروزرسانی‌های امنیتی نسخه‌های هسته وردپرس ۳.۷ و ۴.۰ ارائه نمی‌شود. در نظر داشته باشید که تمام سایت‌های وردپرس شما آخرین نسخه را اجرا می‌کنند.

آسیب پذیری افزونه های وردپرس

افزونه Checkout Field Editor for WooCommerce

این افزونه دارای آسیب پذیری PHP Object Injection است. این آسیب‌پذیری زمانی روی می‌دهد که ورودی ارائه‌ شده توسط کاربر قبل از ارسال به تبع (unserialize) به درستی حذف نشده باشد. این آسیب پذیری در نسخه ۱٫۸٫۰ مرتفع شده است و همچنین شدت آن نیز متوسط است.

افزونه Beautiful Cookie

این افزونه دارای آسیب پذیری Stored XSS و با شدت است و در نسخه ۲٫۹٫۱ مرتفع شده است.

افزونه Broken Link Checker

این افزونه دارای آسیب پذیری XSS است و جزئیات CVE آن در https://www.cve.org/CVERecord?id=CVE-2022-3922 قابل مشاهده است. این آسیب پذیری به احراز هویت کاربر با سطح دسترسی Admin نیاز دارد و به ادمین‌ها و سایر کاربران با امتیاز بالا اجازه می دهد تا کد جاوا اسکریپت دلخواه را حتی زمانی که قابلیت unfiltered_html  غیرفعال است، وارد کنند.

در نظر داشته باشید که شدت این آسیب پذیری کم است و در نسخه ۱.۱۱.۲۰ مرتفع شده است.

افزونه Form Vibes

این افزونه دارای آسیب پذیری SQL injection و با شدت متوسط است و در نسخه ۱٫۴٫۶ مرتفع شده است.

افزونه Theme-Demo-Importer

این افزونه دارای آسیب پذیری Arbitrary File Upload است. این آسیب پذیری نوعی نقص امنیتی است که به مهاجم اجازه می‌دهد فایل‌های مخرب را روی سرور آپلود کند. این مورد را می‌توان با سوء استفاده از یک آسیب پذیری در برنامه وب که نوع فایل را به درستی تأیید نمی‌کند یا با فریب کاربر برای آپلود یک فایل مخرب انجام داد. پس از آپلود، این فایل‌ها می‌توانند برای به خطر انداختن سرور یا انجام سایر اقدامات مخرب استفاده شوند. شدت این آسیب پذیری متوسط است و در نسخه ۱٫۱٫۱ مرتفع شده است.

افزونه Salon Booking System

این افزونه دارای آسیب پذیری Reflected XSS و شدت آن متوسط است و در نسخه ۷٫۹٫۴ مرتفع شده است.

افزونه Export customers list

این افزونه دارای آسیب پذیری CSV Injection است و زمانی رخ می دهد که یک وبسایت اطلاعات دریافت شده از کاربر را بدون هیچ‌گونه ایمن سازی وارد فایل CSV می‌کند. این افزونه در نسخه ۲٫۰٫۶۹ مرتفع شده است.

آسیب پذیری افزونه های وردپرس

در ادامه لیست افزونه های آسیب پذیر وردپرس که برای آن آپدیت ارائه نشده است، ارائه می‌شود. با توجه به عدم رفع این آسیب پذیری‌ها در صورت استفاده از این افزونه‌ها توصیه می‌شود در اولین فرصت اقدام به حذف آن‌ها کنید.

  • افزونه WPGForm آسیب پذیری Stored XSS
  • افزونه Analytics for WP آسیب پذیری Stored XSS
  • افزونه Find and Replace All آسیب پذیری CSRF
  • افزونه Long Form reCAPTCHA آسیب پذیری Admin+ Stored XSS
  • افزونه Helloprint آسیب پذیری Reflected XSS
  • افزونه ۳DPrint آسیب پذیری CSRF

آسیب پذیری های قالب های وردپرس

در این بخش با تم های وردپرس که دارای آسیب است، آشنا می‌شوید. همچنین برای هر تم لیست آسیب پذیری ها و نسخه رفع شده آن نیز شرح داده می شود.

قالب tagDiv Composer

این تم دارای آسیب پذیری Unauthenticated Account Takeover است و شدت آن بحرانی نیز است، توصیه می‌شود در اولین فرصت به نسخه ۵٫۲٫۲ ارتقا پیدا کند.

قالب Workreap

این تم دارای آسیب پذیری Private Message Disclosure via IDOR است و جزئیات آن در https://www.cve.org/CVERecord?id=CVE-2022-3846 قابل مشاهده است، شدت آن متوسط بوده و در نسخه ۲.۶.۳ مرتفع شده است.

جمع بندی

ما در این مقاله به معرفی آسیب پذیری‌های کشف و مرتفع شده در افزونه‌ها وقالب‌های وردپرس پرداختیم. همچنین برای جلوگیری از تاثیرات منفی برروی سایت شما لیست کاملی از افزونه‌های آسیب پذیر وردپرس که برای آن‌ها آپدیت ارائه نشده را نیز شرح دادیم. امیدواریم این مقاله برای شما مفید بوده باشد.

آخرین نوشته ها

تماس با ما

 کرج، شاهین ویلا، بلوار امام خمینی ، خیابان نهم شرقی ، برج شاهین ،طبقه اول واحد2

 91014618

  info@shopingserver.net

با تلفن ثابت بدون پیش شماره قابل شماره گیری هست و در صورتی که با تلفن همراه قصد تماس گرفتن دارید از پیش شماره استان خود را اول شماره وارد نمایید.

Erfan Akbarieh

Erfan Akbarieh

مطالب مرتبط