آسیبپذیری XSS در پلاگین گفتگوی زنده وردپرس که به هکرها اجازه تزریق پیلودهای مخرب جاوا اسکریپت را میدهد.
آسیبپذیری احراز هویت نشده XSS موجود در پلاگین پشتیبانی از گفتگوی زنده وردپرس، به هکرها اجازه تزریق پیلودهای مخرب جاوا اسکریپت را در وبسایتهای آسیبپذیر میدهد. بیشتر از 60000 کاربر از این پلاگین گفتگوی زنده استفاده میکنند، که به مدیران وب اجازه میدهد که با بازدیدکنندگانشان به صورت رایگان گفتگو کنند. شرکت امنیتی Sucuri این آسیبپذیری پلاگین پشتیبانی از گفتگوی زنده وردپرس را در حین بررسیهای معمول روزمره خود کشف کرده است و هر مهاجم میتواند این آسیبپذیری را بدون داشتن حساب کاربری در وبسایت آسیبپذیر، اکسپلویت کند. ولی از اکسپلویت این آسیبپذیری تا به حال گزارشی ارائه نشده است. طبق گزارش امنیتی Sucuri، میتوان با سوءاستفاده از توابع عملکردی محافظت نشده admin_init از این باگ بهرهبرداری کرد و به طور خاص در این آسیبپذیری، تابع عملکردی wplc_head_basic، تنظیمات پلاگین را بدون استفاده از بررسی سطح دسترسی مناسب بهروزرسانی میکند. این باگ به مهاجمان اجازه تزریق اسکریپتهای مخرب را در صفحات گفتگوی زنده میدهد و مهاجمان میتوانند با بهرهبرداری از این باگ، اسکریپتهای مخرب را در چندین مکان مختلف موجود در وبسایتهای آسیبپذیر وارد کنند. برای محافظت در برابر این آسیبپذیری، به کاربران توصیه میشود که در اسرع وقت پلاگین خود به نسخه 8.0.72 بهروزرسانی کنند. Sucuri این باگ را در 30 آوریل 2019 گزارش کرد و وصله مربوط به آن در تاریخ 15 می 2019 منتشر شد. به تازگی مهاجمان به منظور تزریق کدهای مخرب در سایتهای آسیبپذیر، پلاگین Yuzo در وردپرس را اکسپلویت کردهاند که بازدیدکنندگان را به منابع مخرب از جمله سایتهای پشتیبانی جعلی، بهروزرسانیهای جعلی و مخرب و همچنین تبلیغات هدایت میکند. روزانه هزاران وبسایت وردپرس هک میشوند، بنابراین ایمنسازی وبسایت شما باید همیشه در اولویت باشد. پس با گذاشتن مقداری وقت بیشتر در این زمینه، میتوانید امنیت وبسایت خود را تامین کنید. چون مواجه شدن با وبسایتی که به آن نفوذ شده به مراتب سختتر از پیشگیری از نفوذ به آن است.
مرکز ماهر
دانشگاه کردستان