افزونه‌‌ی آمار وردپرس با ۳۰۰ هزار کاربر، دارای آسیب‌پذیری تزریق SQL است

به‌تازگی یک آسیب‌پذیری تزریق QSL در یکی از افزونه‌های بسیار معروف وردپرس کشف شده است. گفته می‌شود این افزونه بر روی ۳۰۰ هزار وب‌گاه وردپرس نصب شده و این وب‌گاه‌ها در معرض این آسیب‌پذیری قرار دارند. یک مهاجم از راه دور می‌تواند از این آسیب‌پذیری بهره‌برداری کرده و به پایگاه‌داده‌های کامل وب‌گاه دسترسی یابد و یا کنترل وب‌گاه را در دست بگیرد.

این آسیب‌پذیری در افزونه‌ی «آمار ودرپرس» کشف شده است. این افزونه به مدیر وب‌گاه این امکان را می‌دهد تا اطلاعات آماری وب‌گاه از جمله کاربران برخط و تعداد بازدیدها را مشاهده کند. این آسیب‌پذیری توسط گروه امنیتی از شرکت Sucuri کشف شده است. آسیب‌پذیری تزریق SQL یکی از اشکالات مربوط به برنامه‌های کاربردی تحت وب است که به نفوذگران امکان تزریق پرس‌وجوهای مخرب SQL را از طریق فیلدهای ورودی وب‌گاه می‌دهد تا بتواند مکان‌های اصلی پایگاه داده‌ها را بدست آورد و اطلاعات حساس را از روی آن به سرقت ببرد.

در افزونه‌ی «آمار وردپرس» این آسیب‌پذیری در داخل چندین تابع وجود دارد که از جمله‌ی این توابع می‌توان ()wp_statistics_searchengine_query را نام برد. محققان امنیتی گفتند: «این آسیب‌پذیری به این دلیل وجود دارد که داده‌هایی که توسط کاربران ارائه می‌شود، مقداردهی اولیه نشده است. بسیاری از مقادیری که توسط کاربر وارد می‌شود به‌عنوان پارامتر به بسیاری از توابع مهم در این افزونه ارسال می‌شود. اگر این مقادیر مورد بررسی قرار بگیرد، این ارسال پارامترها مشکل‌ساز نخواهد بود.»

در این تابع آسیب‌پذیر، امتیازات اضافی که کاربر باید داشته باشد، برسی نمی‌شود و کاربر معمولی می‌تواند پرس‌وجوهای خود را تزریق کرده و کدهای مخرب خود را بر روی پایگاه داده اجرا کند. این آسیب‌پذیری توسط محققان به گروه این افزونه گزارش شده و آن‌ها نیز در نسخه‌ی ۱۲.۰.۸ آن را وصله کرده‌اند. اگر شما نیز از نسخه‌های آسیب‌پذیر استفاده می‌کنید که امکان ثبت‌نام کاربران را می‌دهد، در معرض خطر هستید و به شما توصیه می‌کنیم سریعاً این افزونه را به‌روزرسانی کنید.

کانال اخبار فناوری اطلاعات نماد امن

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.