تزریق کد به وب‌سایت‌های وردپرس از طریق آسیب‌پذیری موجود در افزونه‌ی Product Review

آسیب‌پذیری اخیراً وصله‌شده در افزونه‌ی WP Product Review Lite برای وردپرس، می‌تواند توسط مهاجمان غیرمجاز برای نفوذ به وب‌سایت‌ها مورد بهره‌برداری قرار بگیرد. افزونه‌ی WP Product Review Lite که برای بررسی و نظرسنجی محصولات در وب‌سایت‌های وردپرس طراحی شده است، از ایجاد یک ویجت برای بررسی محصولات برتر پشتیبانی کرده و همچنین، با اضافه‌کردن گزینه‌ی «اکنون بخرید» در پست‌ها، امکان افزایش کسب درآمد را فراهم می‌کند. این افزونه بیش از ۴۰هزار مرتبه نصب شده است.

اخیراً، تیم توسعه‌دهنده‌ی این افزونه از وصله‌ی یک آسیب‌پذیری اسکریپت‌نویسی میان‌وبگاهی خبر دادند که می‌تواند برای تزریق کد به تمامی صفحات محصول وب‌سایت مورد بهره‌برداری قرار بگیرد. به گفته‌ی محققان امنیتی، اگرچه تمامی داده‌های ورودی کاربر sanitized هستند، بااین‌حال، اگر مهاجم پارامتری را درون یک خصوصیت HTML تنظیم کند، می‌تواند یکی از توابع مورد استفاده در وردپرس را دور بزند.

این حمله می‌تواند بدون احراز هویت انجام شود، به این معنی که مهاجم می‌تواند حملات را به‌صورت خودکار انجام دهد. این موضوع باعث می‌شود تا حمله به تعداد زیادی از وب‌سایت‌های آسیب‌پذیر برای مجرمان سایبری آسان‌تر شوند.  همچنین، تعداد بالای نصب‌های فعال، سهولت بهره‌برداری و حمله‌ی موفقیت‌آمیز از طریق این آسیب‌پذیری را افزایش می‌دهد.

درحال‌حاضر، این آسیب‌پذیری با انتشار نسخه‌ی ۳٫۷٫۶ افزونه‌ی WP Product Review Lite وصله شده است. درحالی‌که هنوز هیچ‌گونه بهره‌برداری فعالی برای این آسیب‌پذیری مشاهده نشده است، اما محققان امنیتی ارتقای وب‌سایت‌ها به نسخه‌ی وصله‌شده را به مدیران توصیه می‌کنند، زیرا نسخه‌های قدیمی این افزونه در برابر حملات و خطرات احتمالی آسیب‌پذیر هستند.

منبع

پست‌های مشابه

Leave a Comment