همانطور که میدانید آسیب پذیری های افزونهها و تم های وردپرس دلیل اصلی هک شدن وبسایتهای وردپرسی است. ما در گزارشهای ماهانه سعی میکنیم لیست این افزونهها و تمهای آسیب پذیر را برای شما ارائه دهیم تا اقدامات لازم جهت بروزرسانی یا حذف آنها انجام شود.
هر کدام از این آسیب پذیری ها دارای شدتهای کم، متوسط، زیاد و بحرانی است که میبایست اقدامات متناسب با آنها انجام شود. در ادامه این مطلب با آسیب پذیری های کشف شده وردپرس آشنا شوید.
آسیب پذیری هسته ورد پرس
نسخه ۶٫۱ وردپرس که در تاریخ November 1, 2022 ارائه شد، تغییرات اساسی در این نسخه انجام شده است و گزارش کامل آن در سایت https://wordpress.org/support/wordpress-version/version-6-1/ قابل مشاهده است.
علاوهبر این نسخه ۶٫۱٫۱ وردپرس در تاریخ November 15, 2022 ارائه شد که طی آن ۲۹ باگ موجود در هسته وردپرس مرتفع شد. این آپدیتها از نوع اصلی است و توصیه میشود به آخرین نسخه بروزرسانی شود.
از آن جاییکه در اخبار دیگر بروزرسانیهای امنیتی نسخههای هسته وردپرس ۳.۷ و ۴.۰ ارائه نمیشود. در نظر داشته باشید که تمام سایتهای وردپرس شما آخرین نسخه را اجرا میکنند.
آسیب پذیری افزونه های وردپرس
افزونه Checkout Field Editor for WooCommerce
این افزونه دارای آسیب پذیری PHP Object Injection است. این آسیبپذیری زمانی روی میدهد که ورودی ارائه شده توسط کاربر قبل از ارسال به تبع (unserialize) به درستی حذف نشده باشد. این آسیب پذیری در نسخه ۱٫۸٫۰ مرتفع شده است و همچنین شدت آن نیز متوسط است.
افزونه Beautiful Cookie
این افزونه دارای آسیب پذیری Stored XSS و با شدت است و در نسخه ۲٫۹٫۱ مرتفع شده است.
افزونه Broken Link Checker
این افزونه دارای آسیب پذیری XSS است و جزئیات CVE آن در https://www.cve.org/CVERecord?id=CVE-2022-3922 قابل مشاهده است. این آسیب پذیری به احراز هویت کاربر با سطح دسترسی Admin نیاز دارد و به ادمینها و سایر کاربران با امتیاز بالا اجازه می دهد تا کد جاوا اسکریپت دلخواه را حتی زمانی که قابلیت unfiltered_html غیرفعال است، وارد کنند.
در نظر داشته باشید که شدت این آسیب پذیری کم است و در نسخه ۱.۱۱.۲۰ مرتفع شده است.
افزونه Form Vibes
این افزونه دارای آسیب پذیری SQL injection و با شدت متوسط است و در نسخه ۱٫۴٫۶ مرتفع شده است.
افزونه Theme-Demo-Importer
این افزونه دارای آسیب پذیری Arbitrary File Upload است. این آسیب پذیری نوعی نقص امنیتی است که به مهاجم اجازه میدهد فایلهای مخرب را روی سرور آپلود کند. این مورد را میتوان با سوء استفاده از یک آسیب پذیری در برنامه وب که نوع فایل را به درستی تأیید نمیکند یا با فریب کاربر برای آپلود یک فایل مخرب انجام داد. پس از آپلود، این فایلها میتوانند برای به خطر انداختن سرور یا انجام سایر اقدامات مخرب استفاده شوند. شدت این آسیب پذیری متوسط است و در نسخه ۱٫۱٫۱ مرتفع شده است.
افزونه Salon Booking System
این افزونه دارای آسیب پذیری Reflected XSS و شدت آن متوسط است و در نسخه ۷٫۹٫۴ مرتفع شده است.
افزونه Export customers list
این افزونه دارای آسیب پذیری CSV Injection است و زمانی رخ می دهد که یک وبسایت اطلاعات دریافت شده از کاربر را بدون هیچگونه ایمن سازی وارد فایل CSV میکند. این افزونه در نسخه ۲٫۰٫۶۹ مرتفع شده است.
آسیب پذیری افزونه های وردپرس
در ادامه لیست افزونه های آسیب پذیر وردپرس که برای آن آپدیت ارائه نشده است، ارائه میشود. با توجه به عدم رفع این آسیب پذیریها در صورت استفاده از این افزونهها توصیه میشود در اولین فرصت اقدام به حذف آنها کنید.
- افزونه WPGForm آسیب پذیری Stored XSS
- افزونه Analytics for WP آسیب پذیری Stored XSS
- افزونه Find and Replace All آسیب پذیری CSRF
- افزونه Long Form reCAPTCHA آسیب پذیری Admin+ Stored XSS
- افزونه Helloprint آسیب پذیری Reflected XSS
- افزونه ۳DPrint آسیب پذیری CSRF
آسیب پذیری های قالب های وردپرس
در این بخش با تم های وردپرس که دارای آسیب است، آشنا میشوید. همچنین برای هر تم لیست آسیب پذیری ها و نسخه رفع شده آن نیز شرح داده می شود.
قالب tagDiv Composer
این تم دارای آسیب پذیری Unauthenticated Account Takeover است و شدت آن بحرانی نیز است، توصیه میشود در اولین فرصت به نسخه ۵٫۲٫۲ ارتقا پیدا کند.
قالب Workreap
این تم دارای آسیب پذیری Private Message Disclosure via IDOR است و جزئیات آن در https://www.cve.org/CVERecord?id=CVE-2022-3846 قابل مشاهده است، شدت آن متوسط بوده و در نسخه ۲.۶.۳ مرتفع شده است.
جمع بندی
ما در این مقاله به معرفی آسیب پذیریهای کشف و مرتفع شده در افزونهها وقالبهای وردپرس پرداختیم. همچنین برای جلوگیری از تاثیرات منفی برروی سایت شما لیست کاملی از افزونههای آسیب پذیر وردپرس که برای آنها آپدیت ارائه نشده را نیز شرح دادیم. امیدواریم این مقاله برای شما مفید بوده باشد.