آسیب پذیری افزونهها و قالبها مهمترین دلیل هکشدن و سو استفاده از وب سایتهای وردپرسی است. در این قسمت از سری گزارشهای ماهیانه «آسیب پذیریهای کشف شده در وردپرس»، نوع آسیب پذیری، نحوه اجرا و همچنین نسخههای آسیب پذیر و ایمن را در ماه فوریه بررسی میکنیم.
همانطور که میدانید هدف از ارائه این نوع گزارشها، ایمن نگهداشتن وب سایتهای وردپرسی و در صورت آلوده شدن آنها، مشاهده نحوه تاثیر این آسیب پذیریها و راههای رفع آن است.
هر کدام از این آسیب پذیریها دارای وسعت و شدت مختلفی ( کم، متوسط، بالا و بحرانی) در سایتهای وردپرس هستند. شدت آسیب پذیری نشان میدهد که چقدر برای یک مهاجم آسان است که از آسیب پذیری سوء استفاده کند و تأثیر یک سوء استفاده مؤثر چقدر میتواند مخرب باشد.
[irp posts=”26405″ name=”آسیب پذیری های کشف شده در وردپرس (January 2023)”]
آسیب پذیری افزونههای وردپرس
افزونه All-In-One Security
این افزونه در نسخه 5.1.4 و پایین تر دارای آسیب پذیری Directory Traversal که به مهاجم این امکان را می دهد تا فایلهای سرور را مشاهده کند. این آسیب پذیری در نسخه 5.1.5 مرتفع شده است.
افزونه Rank Math SEO
این افزونه در نسخه 1.0.107.2 و پایین تر دارای آسیب پذیری Local File Inclusion بوده که به مهاجم این امکان را میدهد تا فایلهای محلی سایت مورد نفوذ را اضافه کند و خروجیها را بر روی صفحه نمایش دهد، در صورتی که امکان نگه داری سطح دسترسی وجود داشته باشد مهاجم می تواند به پایگاه داده دسترسی داشته باشد. این آسیب پذیری در نسخه 1.0.107.3 مرتفع شده و شدت این آسیب پذیری بالا است.
افزونه Contact Form 7
این افزونه در نسخههای 2.7.9 و پایین تر دارای آسیب پذیری Privilege Escalation است و امکان ارتقا سطح دسترسی را برای مهاجم فراهم میکند و شدت آن نیز بالا است. با بروز رسانی به نسخه 2.8.0 مرتفع خواهد شد.
افزونه WordPress Starter Templates plugin
این افزونه در نسخههای قبل از 3.1.21 دارای آسیب پذیری CSRF بوده که نیاز به بروز رسانی در اسرع وقت دارد، شدت این آسیب پذیری متوسط و جزئیات آن در CVE-2022-46851 قابل مشاهده و بررسی است.
افزونه WordPress Ocean Extra plugin
این افزونه در نسخههای قبل از 2.1.3 دارای آسیب پذیری XSS استکه جزئیات آن در CVE-2023-24399 آمده است. با توجه به شدت آسیب پذیری آن توصیه میشود در اسرع وقت اقدام بهروزرسانی آن کنید.
آسیب پذیری قالبهای وردپرس
قالب WoodMart
این قالب در نسخه 7.1.1 و پایین تر دارای آسیب پذیری Arbitrary Shortcodes Injection بوده که امکان تزریق کد کوتاه را برای مهاجم فراهم می کند. با توجه به گستردگی استفاده از این قالب محبوب توصیه می شود آخرین نسخه آن بروز شود.
جزئیات بیشتر این آسیب پذیری را می توانید در CVE- 2023-25790 بررسی و مشاهده کنید.
قالب Real Estate 7 theme
این قالب در نسخه 3.3.2 و پایین تر دارای آسیب پذیری XSS است و با توجه به شدت بالای آسیب پذیری توصیه می شود به آخرین نسخه بروز شود.
جزئیات بیشتر این آسیب پذیری را می توانید در CVE- 2022-47146 بررسی و مشاهده کنید.