یک آسیبپذیری که اخیراً بر افزونه «Backup Migration» تأثیر میگذارد، امتیاز ۹٫۸ از ۱۰ را به خود اختصاص داده است، اما ممکن است اوضاع آنقدرها هم که به نظر میرسد بد نباشد، زیرا در حال حاضر یک پچ در دسترس است.
اشکال امنیتی که با نام CVE-2023-6553 ردیابی میشود، همه نسخههای تا (و از جمله) ۱٫۳٫۷ افزونه را تحت تأثیر قرار میدهد.
مهاجمان موفق می توانند اجرای کد از راه دور را به دست آورند که به آنها اجازه می دهد تا از طریق تزریق کد PHP به طور کامل وب سایت های آسیب پذیر وردپرس را در معرض خطر قرار دهند.
به روز رسانی مهم افزونه وردپرس در حال حاضر در دسترس است
افزونه امنیتی وردپرس Wordfence ارسال شده در مورد این آسیب پذیری، و ادعا می کند که ۳۹ حمله را در مدت ۲۴ ساعت قبل از نوشتن این مقاله مسدود کرده است.
در افزونه تغییرات، نسخه ۱٫۳٫۸ این اشکال را برطرف می کند: “CVE گزارش شده وصله شده – لطفا ارتقا دهید.” این نسخه همچنین پشتیبانی آزمایش شده برای WordPress 6.4.2 را اضافه می کند که در ۶ دسامبر منتشر شد.
مشخص نیست که چه تعداد از کاربران نسخههای آسیبپذیر این افزونه را اجرا میکنند، با این حال توسعهدهندگان ادعا میکنند که بیش از ۹۰۰۰۰ بار دانلود کردهاند و در بیش از ۹۰۰ بررسی، ۹۴٪ نرخ پنج ستاره دارند.
به محققان Nex Team اعتبار داده شده است که ابتدا این اشکال را به عنوان بخشی از برنامه پاداش باگ Wordfence پیدا کردند، که در حال حاضر یک انگیزه تا ۲۰ دسامبر اجرا می شود که گزارشگران موفق ۶٫۲۵ برابر پاداش معمول را دریافت می کنند. Nex Team برای هشدار دادن Wordfence به آسیب پذیری ۲۷۵۱ دلار جایزه دریافت کرد.
پس از اطلاع رسانی، Wordfence یک قانون فایروال برای محافظت از مشتریان Wordfence Premium (119 دلار در سال)، Wordfence Care (490 دلار در سال) و Wordfence Response (950 دلار در سال) صادر کرد. Wordfence همچنین قانون فایروال را به مشتریانی که پرداخت نمی کنند پس از یک دوره ۳۰ روزه گسترش می دهد، به این معنی که مشتریان رایگان از ۵ ژانویه ۲۰۲۴ واجد شرایط خواهند بود.
با این حال، Wordfence همچنین به توسعه دهندگان Backup Migration، BackupBliss، در مورد این آسیب پذیری اطلاع داد، که متعاقباً در عرض چند ساعت یک پچ را منتشر کردند. را پست وبلاگ میخواند: “با تشکر از تیم BackupBliss برای پاسخ و وصله فوقالعاده سریع.”
در حالی که هم یک وصله و یک فایروال در حال حاضر در دسترس قرار گرفته اند، هنوز از کاربران وردپرس خواسته می شود تا در اسرع وقت به روزرسانی ها را برای همه افزونه ها اعمال کنند تا حفاظت بهینه از سایت های خود حفظ شود.
بیشتر از TechRadar Pro
- برای رفع این نقص امنیتی مهم، اکنون وردپرس را به روز کنید
- طرفدار وردپرس نیستید؟ بررسی کنید بهترین سازندگان وب سایت رایگان
- امنیت سایبری خود را با بهترین فایروال ها و بهترین محافظت نقطه پایانی
منبع: https://www.techradar.com/pro/security/thousands-of-wordpress-websites-could-be-put-at-risk-by-this-serious-security-bug