گزارش های آسیب پذیری و افشای به موقع آن ها برای آگاهی و آموزش امنیت وب سایت ها ضروری هستند. حملات خودکار که آسیبپذیریهای نرمافزاری شناخته شده را هدف قرار میدهند، یکی از دلایل اصلی به خطر افتادن وبسایتها هستند.
در ادامه بررسی آسیبپذیریهای ورد پرس و کمک به آموزش صاحبان وبسایتها در مورد تهدیدات نوظهور، فهرستی از بهروزرسانیهای امنیتی مهم و وصلههای آسیبپذیری را برای اکوسیستم وردپرس در ماه گذشته گردآوری کردهایم.
آسیب پذیری های کشف شده در افزونههای وردپرس
افزونه SiteGround Security
این افزونه در نسخه های قبل از 1.3.0 دارای آسیب پذیری SQLi می باشد به اینصورت که ورودی کاربر برای استفاده از SQL query توسط این افزونه پاکسازی نمیشود. این آسیب پذیری در نسخه 1.3.1 مرتفع شده است.
جزئیات بیشتر این آسیب پذیری را می توانید در CVE-2023-0234 بررسی و مشاهده کنید.
افزونه ExactMetrics
این افزونه در نسخه 7.12.0 و پایین تر دارای آسیب پذیری XSS می باشد به اینصورت که داده ها به درستی اعتبارسنجی نشدهاند و قبل از بازگرداندن آنها به صفحه یا پستی که داده در آن جاسازی و از آن خارج میشوند، به طور بالقوه امکان اجرای حملات xss را فراهم می کند. این آسیب پذیری در نسخه 7.12.1 و بالاتر مرتفع شده است.
جزئیات بیشتر این آسیب پذیری را می توانید در CVE-2023-0082 بررسی و مشاهده کنید.
افزونه Enable Media Replace
این افزونه در نسخه 4.0.1 امکان آپلود فایل را برای مهاجم فراهم می کند که برای این کار نیاز به سطح دستری نویسنده یا بالاتر دارد. این آسیب پذیری در نسخه 4.0.2 و بالاتر مرتفع شده است.
جزئیات بیشتر این آسیب پذیری را می توانید در CVE-2023-0255 بررسی و مشاهده کنید.
افزونه GiveWP
این افزونه در نسخه 2.24.0 و پایین تر دارای آسیب پذیری SQLi می باشد به اینصورت که ورودی کاربر به درستی توسط این افزونه حذف نمی شود و به مهاجم امکان اجرای حمله SQLi فراهم می کند. این آسیب پذیری در نسخه 2.24.1 مرتفع شده است.
جزئیات بیشتر این آسیب پذیری را می توانید در CVE-2023-0224 بررسی و مشاهده کنید.
افزونه HUSKY
این افزونه در نسخه 1.3.1 و پایین تر دارای آسیب پذیری PHP Object Injection میباشد و با بروز رسانی به نسخه 1.3.2 مرتفع خواهد شد.
جزئیات بیشتر این آسیب پذیری را می توانید در CVE-2022-4489 بررسی و مشاهده کنید.
[irp posts=”26418″ name=”آسیب پذیریهای کشف شده در وردپرس (February 2023)”]
افزونه All-In-One Security
این افزونه در نسخه های قبل از 5.1.3 دارای آسیب پذیری افشای تنظیمات (Configuration Leak) می باشد که توصیه می شود بهه آخرین نسخه بروز شود.
جزئیات بیشتر این آسیب پذیری را می توانید در CVE- 2022-4346 بررسی و مشاهده کنید.
افزونه WP Statistics
این افزونه در نسخه های قبل از 13.2.9 دارای آسیب پذیری SQLi است و همچنین شدت آن نیز بالا می باشد و جزئیات آن نیز در CVE-2022-4230 قابل مشاهده می باشد.