شما عضو این انجمن نبوده یا وارد نشده اید. لطفا برای مشاهده کامل انجمن و استفاده از آن وارد شوید یا ثبت نام کنید .

امتیاز موضوع:
  • 63 رأی - میانگین امتیازات: 3.14
  • 1
  • 2
  • 3
  • 4
  • 5

[-]
کلمات کلیدی
رسانی wordpress injection آمارگیری وردپرس هکر روز به هشدار statistics sql wp پلاگین مهم برای attack هک

هشدار مهم برای به روز رسانی پلاگین آمارگیری وردپرس WP Statistics
#1
پلاگین آمارگیری وردپرس با 300 هزار مخاطب، باگ تزریق کد SQL دارد

[تصویر:  do.php?img=3488]

کارشناسان امنیتی به تازگی گزارش کرده‌اند یک آسیب‌پذیری تزریق کد SQL را در یکی از معروف‌ترین افزونه‌های وردپرس شناسایی کرده‌اند. این افزونه که روی بیش از 300 هزار سایت وردپرس نصب شده است اکنون این سایت‌ها را در معرض یک حمله هکری جدی قرار داده است. هکرها به واسطه این آسیب‌پذیری قادر هستند به بانک اطلاعاتی کامل یک سایت دسترسی پیدا کرده یا بدتر از آن کنترل یک سایت را به دست آورند.

آسیب‌پذیری تزریق کد SQL در افزونه WP Statistics که در ارتباط با آمارگیری مورد استفاده قرار می‌گیرد شناسایی شده است. افزونه یاد شده به مدیران سایت‌ها این توانایی را می‌دهد تا اطلاعات و جزییاتی در ارتباط با تعداد کاربران آنلاینی که روی سایت آن‌ها قرار دارند، تعداد بازدیدها، تعداد بازدیدکنندگان و همچنین اطلاعات آماری مرتبط با سایت خود را به دست آورند. گروه امنیتی Sucuri  که موفق شده است این آسیب‌پذیری را شناسایی کند در پستی نوشته است: «آسیب‌پذیری تزریق کد SQL یکی از باگ‌های مرتبط با برنامه‌های کاربردی تحت وب است که به هکرها اجازه می‌دهد محاوره‌های مخرب SQL را از طریق فیلدهای ورودی به سایت‌ها تزریق کرده، در ادامه مکان قرارگیری بانک‌های اطلاعاتی کلیدی را به دست آورده و در نهایت به سرقت اطلاعات بپردازند. آسیب‌پذیری فوق همچنین به یک هکر اجازه می‌دهد یک دسترسی از راه دور تایید نشده به سایت‌ها را به دست آورد.»

آسیب‌پذیری تزریق کد SQL در افزونه WP Statistics درون چند تابع معروف از جمله wp_statistics_searchengine_query قرار دارد. پژوهشگران این شرکت امنیتی اعلام داشته‌اند: «این آسیب‌پذیری به واسطه فقدان مقداردهی اولیه داده‌هایی به وجود می‌آید که از سوی کاربران وارد می‌شود. طیف گسترده‌ای از مقادیری که از سوی کاربران وارد می‌شود در قالب آرگومان‌های ورودی برای بسیاری از توابع این افزونه ارسال می‌شود. اگر پارامترهای ورودی مورد اعتبارسنجی قرار بگیرند در این حالت آرگومان‌های وارد شده مشکلی به وجود نخواهند آورد.» wp_statistics_searchengine_query یکی از این توابع آسیب‌پذیر است که درون فایل includes/functions/functions.php قرار دارد.

این تابع امتیازات اضافی که به کاربر تخصیص داده می‌شود را مورد بررسی قرار نمی‌دهد. در نتیجه یک کاربر عادی این شانس را پیدا می‌کند تا محاوره‌هایی را به درون بانک اطلاعاتی وارد کرده و در ادامه کدهای مخرب خود را روی بانک ‌اطلاعاتی به مرحله اجرا در آورد. پژوهشگران Sucuri به‌طور محرمانه این نقص را به تیم توسعه‌دهنده افزونه WP Statistics گزارش داده‌اند و تیم مربوطه وصله مورد نظر را در قالب جدیدترین نسخه این افزونه یعنی نسخه 12.0.8 عرضه کرده است.

اگر شما نیز یک نسخه آسیب‌پذیر از افزونه فوق را روی سایت خود نصب کرده‌اید و به کاربران اجازه ثبت نام داده‌اید، باید بدانید که در معرض خطر قرار دارید. به شما توصیه می‌شود در اولین فرصت ممکن افزونه خود را به‌روزرسانی کنید.
پاسخ
 سپاس شده توسط bahram ، soraya ، farnaz ، saberi ، saye.tanha ، نگار ، elshan
#2
متشکرم از اطلاع رسانی
پاسخ


موضوع‌های مشابه…
موضوع نویسنده پاسخ بازدید آخرین ارسال
  بهینه سازی تصاویر وب سایت با ۳ پلاگین وردپرس ehsannasr 0 1,252 ۹۶/۱۲/۲، ۰۳:۱۰ عصر
آخرین ارسال: ehsannasr
  اضافه کردن تاریخ انقضا برای مطالب وردپرس سحر 0 1,196 ۹۶/۹/۱۵، ۰۵:۵۵ صبح
آخرین ارسال: سحر
  درج امضا برای نوشته ها در وردپرس mesterweb 0 1,548 ۹۵/۱۲/۲۷، ۰۷:۰۸ صبح
آخرین ارسال: mesterweb

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان