وردپرس ۸ آسیب‌پذیری را وصله کرد

روز چهارشنبه با انتشار وردپرس ۴.۷.۱ هشت مورد آسیب‌پذیری جدی و ۶۲ اشکال امنیتی در این سامانه‌ی مدیریت محتوا برطرف شد.

در فهرست آسیب‌پذیری‌هایی که این هفته توسط وردپرس وصله شده است می‌توان آسیب‌پذیری اجرای کد از راه دور را که در PHPMailer وجود داشت، مشاهده کرد. هرچند که گروه امنیتی وردپرس، هسته و افزونه‌ها را مورد تحلیل و بررسی قرار داده و فهمیدند که این آسیب‌پذیری وردپرس را تحت تأثیر قرار نمی‌دهد ولی PHPMailer محض احتیاط با انتشار نسخه‌ی ۵.۲.۲۲ به‌روزرسانی‌هایی را منتشر کرده است.

دو محقق امنیتی، یک آسیب‌پذیری افشای اطلاعات را نیز گزارش کردند. این محققان کشف کردند که واسط برنامه‌نویسی REST تمامی داده‌ها را برای کاربرانی که اجازه‌ی انتشار پست عمومی دارند، افشاء می‌کند.
آخرین به‌روزرسانی وردپرس ۲ آسیب‌پذیری CSRF را نیز وصله می‌کند. یکی از این آسیب‌پذیری‌ها حالت دسترس‌پذیری ویرایش ویجت را تحت تأثیر قرار می‌دهد و آسیب‌پذیری دیگر توسط یک پرونده‌ی فلش جعلی قابل بهره‌برداری است.

در این به‌روزرسانی‌ها ۲ آسیب‌پذیری XSS نیز برطرف شده است. این آسیب‌پذیری‌ها در پرونده‌ی update-core.php سرآیند نسخه و نام افزونه را تحت تأثیر قرار می‎داد. در نسخه‌ی جدید همچنین یک آسیب‎پذیری و ضعف مربوط به رمزنگاری نیز وصله شده است. این آسیب‌پذیری مربوط به کلیدهای فعال‌سازی چندوب‌گاه است. یک آسیب‌پذیری دیگر نیز مربوط به ارسال پست از طریق رایانامه است که اگر تنظیمات پیش‌فرض تغییر نکرده باشد، mail.example.com را بررسی می‌کند.

این آسیب‌پذیری‌ها نسخه‌ی ۴.۷ و قبل‌تر وردپرس را تحت تأثیر قرار می‌دادند. از آذر ماه که نسخه‌ی ۴.۷ منتشر شده، بیش از ۱۰ میلیون دفعه بارگیری شده است و مهاجمان می‌توانند این اهداف بالقوه را با عملیات مخرب خود هدف حمله قرار دهند.

وردپرس رفته‌رفته به برترین سامانه مدیریت محتوایی تبدیل می‌شود که مورد نفوذ قرار می‌گیرد. به گزارش شرکت‌های امنیتی، تمامی وب‌گاه‌هایی که در ۹ ماه گذشته مورد بررسی قرار گرفته از وردپرس استفاده می‌کردند. اخیراً مطالعه‌ای توسط بخش فناوری RIPS انجام شده و نشان داده شد که از ۴۸ هزار افزونه که در وب‌گاه رسمی وردپرس منتشر شده است، ۸۸۰۰ نمونه حداقل دارای یک آسیب‌پذیری هستند.روز چهارشنبه با انتشار وردپرس ۴.۷.۱ هشت مورد آسیب‌پذیری جدی و ۶۲ اشکال امنیتی در این سامانه‌ی مدیریت محتوا برطرف شد.

در فهرست آسیب‌پذیری‌هایی که این هفته توسط وردپرس وصله شده است می‌توان آسیب‌پذیری اجرای کد از راه دور را که در PHPMailer وجود داشت، مشاهده کرد. هرچند که گروه امنیتی وردپرس، هسته و افزونه‌ها را مورد تحلیل و بررسی قرار داده و فهمیدند که این آسیب‌پذیری وردپرس را تحت تأثیر قرار نمی‌دهد ولی PHPMailer محض احتیاط با انتشار نسخه‌ی ۵.۲.۲۲ به‌روزرسانی‌هایی را منتشر کرده است.

دو محقق امنیتی، یک آسیب‌پذیری افشای اطلاعات را نیز گزارش کردند. این محققان کشف کردند که واسط برنامه‌نویسی REST تمامی داده‌ها را برای کاربرانی که اجازه‌ی انتشار پست عمومی دارند، افشاء می‌کند.
آخرین به‌روزرسانی وردپرس ۲ آسیب‌پذیری CSRF را نیز وصله می‌کند. یکی از این آسیب‌پذیری‌ها حالت دسترس‌پذیری ویرایش ویجت را تحت تأثیر قرار می‌دهد و آسیب‌پذیری دیگر توسط یک پرونده‌ی فلش جعلی قابل بهره‌برداری است.

در این به‌روزرسانی‌ها ۲ آسیب‌پذیری XSS نیز برطرف شده است. این آسیب‌پذیری‌ها در پرونده‌ی update-core.php سرآیند نسخه و نام افزونه را تحت تأثیر قرار می‎داد. در نسخه‌ی جدید همچنین یک آسیب‎پذیری و ضعف مربوط به رمزنگاری نیز وصله شده است. این آسیب‌پذیری مربوط به کلیدهای فعال‌سازی چندوب‌گاه است. یک آسیب‌پذیری دیگر نیز مربوط به ارسال پست از طریق رایانامه است که اگر تنظیمات پیش‌فرض تغییر نکرده باشد، mail.example.com را بررسی می‌کند.

این آسیب‌پذیری‌ها نسخه‌ی ۴.۷ و قبل‌تر وردپرس را تحت تأثیر قرار می‌دادند. از آذر ماه که نسخه‌ی ۴.۷ منتشر شده، بیش از ۱۰ میلیون دفعه بارگیری شده است و مهاجمان می‌توانند این اهداف بالقوه را با عملیات مخرب خود هدف حمله قرار دهند.

وردپرس رفته‌رفته به برترین سامانه مدیریت محتوایی تبدیل می‌شود که مورد نفوذ قرار می‌گیرد. به گزارش شرکت‌های امنیتی، تمامی وب‌گاه‌هایی که در ۹ ماه گذشته مورد بررسی قرار گرفته از وردپرس استفاده می‌کردند. اخیراً مطالعه‌ای توسط بخش فناوری RIPS انجام شده و نشان داده شد که از ۴۸ هزار افزونه که در وب‌گاه رسمی وردپرس منتشر شده است، ۸۸۰۰ نمونه حداقل دارای یک آسیب‌پذیری هستند.

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.