طبق اعلام توسعه دهندگان وردپرس یک مشکل امنیتی در واسط برنامه نویسی REST نسخه های 4.7 و 4.7.1 وردپرس وجود دارد که موجب حملات تزریق کد میشود و مهاجمان بسته به پلاگین های سایت، میتوانند کد php را از طریق این آسیب پذیری تزریق کنند، بهمین دلیل نیاز به بروزرسانی وردپرس به نسخه 4.7.2 وجود دارد.
Sucuri برای بخشی از پروژه تحقیقاتی آسیب پذیری فایروال WAF شرکت خود در حال بررسی مشکلات امنیتی چندین پروژه متن باز بودند و درحالیکه برروی وردپرس کار می کردند متوجه آسیب پذیری تزریق محتوا که در واسط برنامهنویسی REST وجود داشت، شدند. این آسیب پذیری دسترسی کاربران غیرمجاز برای تغییر محتوا یک پست یا صفحه سایت وردپرس را فراهم می کند. این شرکت پس از کشف این موضوع، مشکل را به تیم امنیتی وردپرس اعلام نمود.
در این فاصله بین افشای اصلی توسط Sucuri و ا فشای عمومی این مشکل، ارائه دهندگان هاست وردپرس و فایروال ازجمله Sucuri, SiteLock, CloudFlare و Incapsula از این موضوع مطلع بودند. آکامای(که شرکتی اینترنتی است و در زمینه شبکه تبدیل محتوا فعالیت می کند) هم مطلع شده بود و اعلام کرد با نظارت ترافیک اینترنت برای تلاش های ممکن جهت بهره برداری از این آسیب پذیری تا تاریخ February 1, 2017 موردی را پیدا نکرده است.
کمپل نوشت: ” ما اعتقاد داریم شفافیت به نفع مردم است، موضع ما این است که مسائل مربوط به امنیت همیشه باید اعلام شود، تاخیر یک هفته ای اعلام این مشکل بدلیل اطمینان از ایمنی میلیون ها سایت وردپرس بوده است.”
این آسیب پذیری همانطور که ذکر شد با افزایش حق دسترسی به واسط برنامه نویسی Rest که بتازگی اضافه شده و بصورت پیش فرض در وردپرس 4.7.0 فعال است، باعث بروز مشکلات در سایت های وردپرس می شود. از این طریق کاربران غیر مجاز می توانند یک پست را مشاهده، ویرایش حذف و یا پست جدیدی را ایجاد کنند.
با توجه به اینکه واسط برنامه نویسی Rest بطور پیش فرض در تمام سایت های وردپرس 4.7.0 و یا 4.7.1 فعال میباشد، در صورتیکه هم اکنون سایت شما با این نسخه ورپرس فعال است، در حال حاضر در معرض این آسیب پذیری میباشد.
این یک آسیب پذیری جدی است که می تواند به روش های مختلف یک سایت را در معرض خطر قرار دهد. درصورتیکه بروزرسانی خوکار در وبسایت شما فعال نمی باشد، در اسرع وقت بروزرسانی وردپرس را انجام دهید.
