وصله شدن ۶ آسیب پذیری در نسخه جدید وردپرس

#امنیت ؛ در این مقاله  به انتشار نسخه جدید وردپرس و وصله شدن ۶ آسیب پذیری در نسخه جدید وردپرس این cms معروف می پردازیم . با ما همراه باشید : 

 

روز دوشنبه توسعه‌دهندگان وردپرس انتشار نسخه‌ی ۴.۷.۳ را اطلاع‌رسانی کردند. این نسخه‌ی جدید یک به‌روزرسانی امنیتی بوده و در آن ۶ آسیب‌پذیری وصله شده است. در نسخه‌ی ۴.۷.۳ وردپرس ۳ آسیب‌پذیری XSS برطرف شده است که با استفاده از فراداده‌های پرونده‌های رسانه‌ای، آدرس‌های URL ویدئوها در یوتیوب و نام طبقه‌بندی‌ها قابل بهره‌برداری بودند. ( آسیب پذیری در نسخه جدید وردپرس )

 

در آخرین نسخه‌ی وردپرس همچنین یک آسیب‌پذیری مربوط به فریب سازوکار اعتبارسنجی تغییر مسیر آدرس‌های URL وصله شده است. آسیب‌پذیری دیگر می‌تواند باعث شود تا مدیر سامانه، با قابلیت حذف افزونه‌ها برخی پرونده‌های ناخواسته را حذف کند. یکی دیگر از آسیب‌پذیری‌ها، یک اشکال CSRF در تابع Press This است. بهره‌برداری از این آسیب‌پذیری منجر به استفاده‌ی بیش از حد از منابع کارگزارها شده و شرایط حمله‌ی منع سرویس را پیش خواهد آورد.  ( آسیب پذیری در نسخه جدید وردپرس )

 

آسیب پذیری در نسخه جدید وردپرس  وصله شدن 6 آسیب پذیری در نسخه جدید وردپرس

 

 

یک محقق امنیتی دیگر، دو آسیب‌پذیری XSS در قابلیت playlist وردپرس کشف کرده است. برای بهره‌برداری از این آسیب‌پذیری مهاجم نیاز دارد تا یک ویرایشگر یا مدیر وب‌گاه را به بارگذاری یک پرونده‌ی mp۳ متقاعد کند. این پرونده حاوی فراداده‌های جعلی و ناقص است. کد مخربی که توسط مهاجم نوشته شده، زمانی اجرا می‌شود که این فراداده‌ها توسط توابع ()renderTracks یا ()wp_playlist_shortcode پردازش شوند.

 

در پروژه‌ی Summer of Pwnage بیش از ۱۰۰ آسیب‌پذیری در هسته و افزونه‌های وردپرس کشف شده و همه‌ی آن‌ها خواه وصله شده یا نشده، در تاریخ ۱۰ اسفند ماه افشاء شدند. یکی از آسیب‌پذیری‌های وردپرس در هسته‌ی آن که در سال ۲۰۱۶ کشف شده و هنوز هم وصله نشده، CSRF است. جزئیات این آسیب‌پذیری افشاء نشده ولی محققان امنیتی می‌گویند بهره‌برداری از این آسیب‌پذیری به‌طور تئوری، به مهاجم اجازه می‌دهد تا گواهی‌نامه‌های FTP و SSH را به سرقت ببرد. محققان می‌گویند این آسیب‌پذیری می‌تواند تأثیرات بسیار زیادی داشته باشد ولی احتمال بهره‌برداری از آن بسیار کم است. ( آسیب پذیری در نسخه جدید وردپرس )

 

هرچند توسعه‌دهندگان وردپرس اعلام کرده‌اند که در نسخه‌ی ۴.۷.۳ شش مورد آسیب‌پذیری وصله شده ولی هنوز آسیب‌پذیری‌هایی هستند که وصله نشده‌اند و این شرکت برای حفاظت از کاربران خود، در حال حاضر آن‌ها را افشاء نکرده است. نسخه‌ی ۴.۷.۲ در تاریخ ۷ بهمن ماه منتشر شد و اعلام شده بود تنها ۳ آسیب‌پذیری را وصله کرده است. در حالی‌که یک هفته بعد از آن دیدیم که دو آسیب‌پذیری حیاتی ارتقاء امتیاز و تزریق محتوا نیز در این نسخه وصله شده بود. ( آسیب پذیری در نسخه جدید وردپرس )

 

مقالات مرتبط :

 

آسیب پذیری در توئیتر و اجازه دسترسی به حساب های قفل شده !
باج افزار جدید Dharma و کلیدهای رمزگشایی آنلاین این باج افزار

 

پیمان قربانزاده
پیمان قربانزاده
با سلام . پیمان قربانزاده هستم . مدیر سایت پویا سیستم . من و تمام مجموعه پویا سیستم خوشحال می شویم که به شما در زمینه مشکلات نرم افزاری که دارید . کمک کنیم . پس با ما در ارتباط باشید .

سیستم نظردهی برای این مطلب توسط مدیریت بسته شده است.