- 12/6/23
- 70
- 35
منبع خبر: WordFence
در دنیای توسعه وردپرس، امنیت افزونهها از اهمیت بالایی برخوردار است. در طی برنامه جشنواره باگ بانتی، گزارشی از دو آسیبپذیری اساسی در افزونه POST SMTP Mailer با بیش از ۳۰۰ هزار نصب فعال اطلاع داده شد. این آسیبپذیریها که شامل حذف اجازه دسترسی و حفره امنیتی ذخیره شده بدون احراز هویت (XSS) میشوند، خطرهایی بسیار جدی برای امنیت وردپرس ایجاد میکنند.
جزئیات آسیبپذیریها:
حذف اجازه دسترسی (CVE-۲۰۲۲-۶۶۶۹): آسیبپذیری ممکنساز اجازه به حملاتکنندگان برای تنظیم مجدد کلید API است. این موضوع میتواند به دسترسی غیرمجاز به لاگها و ایمیلهای بازنشانی رمز عبور منجر شود.
حفره امنیتی ذخیره شده بدون احراز هویت (XSS) (CVE-۲۰۲۲-۶۶۶۸): این آسیبپذیری به حملاتکنندگان اجازه میدهد تا اسکریپتهایی را در صفحه تنظیمات برنامه تلفن همراه وارد کنند، که ممکن است به اجرای کد از راه دور منجر شود.
زمانبندی اقدامات:
اگر از افزونه POST SMTP Mailer استفاده میکنید، به شدت توصیه میشود که بلافاصله به نسخه ۲.۸.۸ آن بروزرسانی کنید. نقض این توصیه میتواند به خطرات امنیتی جدی برای سایت شما منجر شود. استفاده از وردپرس به معنای تعهد به امنیت و پایداری است. امنیت یک مسئولیت مشترک است که توسعهدهندگان و کاربران به اشتراک میگذارند. با همکاری و هماهنگی، میتوانیم این اکوسیستم زیبا را امنتر نگه داریم. بروز باشید، امن باشید!
در دنیای توسعه وردپرس، امنیت افزونهها از اهمیت بالایی برخوردار است. در طی برنامه جشنواره باگ بانتی، گزارشی از دو آسیبپذیری اساسی در افزونه POST SMTP Mailer با بیش از ۳۰۰ هزار نصب فعال اطلاع داده شد. این آسیبپذیریها که شامل حذف اجازه دسترسی و حفره امنیتی ذخیره شده بدون احراز هویت (XSS) میشوند، خطرهایی بسیار جدی برای امنیت وردپرس ایجاد میکنند.
جزئیات آسیبپذیریها:
- حذف اجازه دسترسی (CVE-۲۰۲۲-۶۶۶۹):
- این آسیبپذیری به حملات کنندگان بدون احراز هویت امکان تنظیم مجدد کلید API برای احراز هویت ایمیل را میدهد.
- به ترتیب به دسترسی به لاگها، شامل ایمیلهای بازنشانی رمز عبور، که ممکن است به تصرف کل سایت منجر شود.
- امتیاز CVSS: ۹.۸ (بحرانی)
- حفره امنیتی ذخیره شده بدون احراز هویت (XSS) (CVE-۲۰۲۲-۶۶۶۸):
- به حملاتکنندگان بدون احراز هویت امکان تزریق اسکریپتهای وب دلخواه را از طریق هدر 'device' میدهد.
- اجرای این اسکریپتها هر زمان که یک مدیر به صفحه تنظیمات برنامه تلفن همراه دسترسی دارد، ممکن است منجر به اجرای کد از راه دور شود.
- امتیاز CVSS: ۷.۲ (بالا)
حذف اجازه دسترسی (CVE-۲۰۲۲-۶۶۶۹): آسیبپذیری ممکنساز اجازه به حملاتکنندگان برای تنظیم مجدد کلید API است. این موضوع میتواند به دسترسی غیرمجاز به لاگها و ایمیلهای بازنشانی رمز عبور منجر شود.
حفره امنیتی ذخیره شده بدون احراز هویت (XSS) (CVE-۲۰۲۲-۶۶۶۸): این آسیبپذیری به حملاتکنندگان اجازه میدهد تا اسکریپتهایی را در صفحه تنظیمات برنامه تلفن همراه وارد کنند، که ممکن است به اجرای کد از راه دور منجر شود.
زمانبندی اقدامات:
- ۱۴ دی ۱۴۰۲: گزارش آسیبپذیریها از طریق برنامه جشنواره باگ بانتی.
- ۱۰ بهمن ۱۴۰۲: تماس با تیم توسعهدهنده و دریافت پاسخ در مورد آسیبپذیریها.
- ۱۲ بهمن ۱۴۰۲: انتشار نسخه پچشده توسط تیم توسعهدهنده.
اگر از افزونه POST SMTP Mailer استفاده میکنید، به شدت توصیه میشود که بلافاصله به نسخه ۲.۸.۸ آن بروزرسانی کنید. نقض این توصیه میتواند به خطرات امنیتی جدی برای سایت شما منجر شود. استفاده از وردپرس به معنای تعهد به امنیت و پایداری است. امنیت یک مسئولیت مشترک است که توسعهدهندگان و کاربران به اشتراک میگذارند. با همکاری و هماهنگی، میتوانیم این اکوسیستم زیبا را امنتر نگه داریم. بروز باشید، امن باشید!
آخرین ویرایش: