اصلاح آسیب‌پذیری تزریق کدِ افزونه‌ی Akismet وردپرس

توسعه‌دهندگان سامانه‌ی مدیریت محتوای متن‌باز ورد‌پرس در هفته‌ی جاری یک آسیب‌پذیری خطرناکِ XSS در افزونه‌ی Akismet وردپرس را وصله کرده‌اند. ابزار Akismet یک افزونه برای جلوگیری از دریافت هرزنامه است که در میلیون‌ها وب‌گاه وردپرس نصب شده است.
در حال حاضر نسخه‌ی ۳٫۱٫۵ از افزونه‌ی Akismet به منظور رفع این آسیب‌پذیری عرضه شده است.
افزونه‌ی Akismet‌ پس از ۱۰ سال، در حال حاضر بیش از ۳ میلیون کاربر دارد و هدف اصلی آن کشف نظراتی با ماهیت هرزنامه است که در وب‌گاه‌های وردپرس ثبت می‌شود.
پژوهش‌گران شرکت امنیتی Sucuri این آسیب‌پذیری را کشف و گزارش دادند سوء‌استفاده از آن‌ بسیار راحت است و مهاجم می‌تواند یک اسکریپت را از راه ثبت یک نظر در وب‌گاه اجرا نماید و به پنل مدیریتی وب‌گاه دست‌رسی پیدا کند.
مهاجم می‌تواند سناریوهای مختلفی برای سوء‌استفاده از این آسیب‌پذیری اجرا نماید، اما همه‌ی این سناریوها با زحمت کمی قابل اجرا هستند و همین مسئله باعث می‌شود خطر این آسیب‌پذیری دو چندان شود.
توسعه‌دهندگان وردپرس با ارائه‌ی یک به‌روز‌رسانی خودکار برای وب‌گاه‌های وردپرس سعی در وصله کردن این آسیب‌پذیری دارند، اما قابلیت به‌روز‌رسانی خودکار در همه‌ی وب‌گاه‌های وردپرس فعال نشده است و کاربران باید اطمینان حاصل نمایند که نسخه‌ی جدید این افزونه را استفاده می‌نمایند.
این دومین آسیب‌پذیری Stored XSS در افزونه‌های وردپرس است که در ماه جاری میلادی وصله شده است. دو هفته‌ی پیش آسیب‌پذیری مشابه در افزونه‌ی Jetpack‌ شناسایی شد که توسعه‌دهندگان وردپرس آن را وصله کردند.
به نظر می‌رسد بردار حملات علیه وردپرس تمرکز خاصی روی افزونه‌های آسیب‌پذیرِ این سامانه دارد، به همین دلیل به کاربران توصیه می‌شود از نصب افزونه‌های غیرضروری در ورد‌پرس اجتناب نمایند، هم‌چنین به اخبار پیرامون آسیب‌پذیری‌ افزونه‌های وردپرس هم توجه کافی داشته باشند.

منبع: ASIS

۲۷ مهر, ۱۳۹۴