وردپرس آسیب‌پذیری‌های موجود در افزونه‌های خود را وصله می‌کند

مدیر

طی چند روز گذشته، آسیب‌پذیری‌های موجود در چندین افزونه‌ی وردپرس که در دنیای واقعی نیز مورد بهره‌برداری قرار گرفته‌اند، وصله شدند.

اولین افزونه‌ی به‌روزشده، افزونه‌ی محبوب مدیریت پرداخت Flexible Checkout Fields برای ووکامرس (WooCommerce) است که بر روی بیش از ۲۰هزار وب‌سایت نصب شده است. این افزونه توسط یک آسیب‌پذیری اسکریپت‌نویسی میان وبگاهی (XSS) ذخیره‌شده که از طریق تغییر تنظیمات افزونه ایجاد شده، تحت تأثیر قرار می‌گیرد.

با در نظرگرفتن شدت بحرانی این آسیب‌پذیری و داشتن امتیاز ۹٫۳ در سیستم امتیازدهی آسیب‌پذیری عام (CVSS)، مهاجم غیرمجاز می‌تواند از آن برای تغییر گزینه‌های افزونه و سپس، تزریق بارداده‌های XSS به‌منظور ورود به داشبورد مدیریتی، بهره‌برداری کند. این نقص امنیتی نسخه‌های ۲٫۳٫۱ و پیش‌تر افزونه را تحت تأثیر قرار داده و با انتشار نسخه‌ی ۲٫۳٫۲ وصله شده است. به‌روزرسانی‌های دیگری نیز برای اجرای اقدامات امنیتی بیشتر منتشر شده و به مدیران وب‌سایت‌ها توصیه می‌شود تا هرچه سریع‌تر آخرین نسخه را نصب کنند.

در حین بررسی حملات هدفمند این اشکال، Defiant، شرکت امنیتی وردپرس آسیب‌پذیری مشابهی را نیز در ۱۰Web Map Builder برای Google Maps، افزونه‌ی دیگری با بیش از ۲۰هزار نصب، کشف کرده است. این اشکال در پروسه‌ی تنظیم افزونه موجود دارد. به گفته‌ی محققان، اگر مهاجم جاوااسکریپت مخرب را به مقادیر خاصی از تنظیمات تزریق کند، آن کد برای مدیرهای وب‌سایت در داشبورد و همچنین، در برخی شرایط برای بازدیدکنندگان front-of-site اجرا خواهد شد. نسخه‌ی ۱٫۰٫۶۴ این افزونه با هدف وصله‌کردن آسیب‌پذیری بحرانی مذکور منتشر شده است.

مهاجمان همچنین افزونه‌ی Modern Events Calendar Lite، با بیش از ۴۰هزار نصب را هدف قرار داده‌اند. این افزونه تحت تأثیر یک آسیب‌پذیری با خطر بالای اسکریپت‌نویسی میان‌وبگاهی ذخیره‌شده که با شناسه‌ی CVE-2020-9459 ردیابی می‌شود، قرار دارد. برخی از اقدامات AJAX که افزونه برای کاربران واردشده ثبت می‌کند، ممکن است به کاربران دارای امتیاز کم مانند مشترکین اجازه دهد تا تنظیمات و سایر داده‌های ذخیره‌شده را دستکاری کنند، که این موضوع نیز به نوبه‌ی خود می‌تواند منجر به تزریق بارداده‌های مختلف XSS شود.

بسته به محل تزریق کد، اسکریپت‌ها را می‌توان برای داشبورد، مدیران یا بازدیدکنندگان تحت تأثیر اجرا کرد. نسخه‌ی ۵٫۱٫۷ افزونه‌ی Modern Events Calendar Lite برای وصله‌کردن این آسیب‌پذیری منتشر شده است.

این کمپین همچنین آسیب‌پذیری موجود در افزونه‌ی Async JavaScript، نصب‌شده بر روی ۱۰۰هزار وب‌سایت وردپرس، را هدف قرار داده است. این آسیب‌پذیری از نوع اسکریپت‌نویسی میان‌وبگاهی ذخیره‌شده مربوط به تغییر تنظیمات بوده و در سیستم CVSS، امتیاز ۷٫۶ را به خود اختصاص داده است. عملکرد AJAX که تنظیمات Async JavaScript را مدیریت می‌کند، تنها برای کاربران تأییدشده ثبت شده است، اما هیچ امکاناتی برای بررسی این موضوع وجود ندارد، بنابراین، کاربران دارای امتیاز کم نیز می‌توانند تنظیمات افزونه را تغییر دهند. این امر می‌تواند منجر به تزریق بارداده‌ای شود که به هنگام بازدید مدیر از بخش‌های خاصی از داشبورد خود، اجرا خواهد شد. این اشکال با انتشار نسخه‌ی ۲٫۲۰٫۰۲٫۲۷ برای افزونه‌ی Async JavaScript وصله شده است.

منبع

پست‌های مشابه

Leave a Comment