به‌روزرسانی مهمی برای سایت‌های وردپرسی

نسخه جدید وردپرس شش آسیب‌پذیری بحرانی را ترمیم کرد

01/03/1396 - 17:11
امنیت
نسخه جدید وردپرس شش آسیب‌پذیری بحرانی را ترمیم کرد
جدیدترین نسخه ارائه شده از وردپرس (نسخه 4.7.5) شش آسیب‌پذیری بحرانی که نسخه‌های 4.7.4 و قبل‌تر را در معرض تهدید قرار می‌داد را ترمیم کرد. در نسخه جدید آسیب‌پذیری‌های متعلق به اسکریپت‌های بین-سایتی (XSS)، جعل درخواست بین سایتی (CSRF) و رخنه جعل درخواست سمت سرور (SSRF) ترمیم شدند.

آسیب‌پذیری جعل درخواست بین سایتی (cross-site request forgery) اولین بار در مسابقه نفوذ به وردپرس در تابستان سال گذشته میلادی از سوی یوریک کاستر، کارشناس امنیتی شرکت Securify شناسایی شد. توسعه‌دهندگان وردپرس اکنون موفق شدند این آسیب‌پذیری ‌را ترمیم کنند. شرکت Securify در ارتباط با آسیب‌ فوق گفته است: «هکرها روی سایت‌هایی که به این آسیب‌پذیری آلوده هستند، قادر هستند تنظیمات مرتبط به SSH و FTP را بازنویسی کنند. هکرها از طریق آسیب‌پذیری فوق این توانایی را دارند تا مدیر یک سایت را فریب داده تا به سرورهای FTP یا SSH که تحت کنترل هکرها قرار دارند، وارد شده و گواهی‌نامه‌های لاگین متعلق به خود را افشا کرده و در اختیار هکرها قرار دهند.»

مطلب پیشنهادی

افزایش 566 درصدی افشای رکوردهای اطلاعاتی در سال 2016
بیگانه‌ای پرسه می‌زند

افزایش 566 درصدی افشای رکوردهای اطلاعاتی در سال 2016

توسعه‌دهندگان وردپرس در ارتباط با آسیب‌پذیری جعل درخواست سمت سرور (server-side request forgery) که به شماره CVE-2017-9066 به ثبت رسیده اعلام داشته‌اند که آسیب‌پذیری فوق مشکلی در رابطه با مکانیزم اعتبارسنجی ناکافی بوده است. به این شکل که درخواست‌های ارسالی و دریافتی مرتبط با پروتکل انتقال ابر متن آن‌گونه که بایدوشاید مورد اعتبارسنجی قرار نمی‌گرفتند. پژوهشگری که موفق شد این آسیب‌پذیری را شناسایی کند در این ارتباط گفته است: «تا چند وقت دیگر جزییات و همچنین کد اثبات مفهوم آسیب‌پذیری فوق را در زیرساخت HackerOne منتشر خواهم کرد.»

مطلب پیشنهادی

دوربين امنیتی خانگی با قابلیت تشخیص انسان از حیوان
دوربين امنیتی Lighthouse با بهرمندی از هوش مصنوعی

دوربين امنیتی خانگی با قابلیت تشخیص انسان از حیوان

آسیب‌پذیری دیگری موسوم به اسکریپت‌های بین‌سایتی (Cross-site Scripting) نیز ترمیم شد. آسیب‌پذیری فوق در ارتباط با آپلود فایل‌هایی است که اندازه‌‌های خیلی بزرگی دارند. همچنین آسیب‌پذیری XSS دیگری نیز از سوی گروه امنیتی وردپرس در ویژگی سفارشی‌ساز (Customizer) شناسایی شد. بن یادنر یکی دیگر از کارکنان بخش امنیتی وردپرس نیز موفق شد آسیب‌پذیری دیگری را در ارتباط با واسط برنامه‌نویسی XML-PRC کشف کند. این کارشناس امنیتی گفته است: «مکانیزم اعتبارسنجی آن‌گونه که باید متادیتاهای متعلق به یک پست را مورد بررسی قرار نمی‌داد.»

توسعه‌دهندگان وردپرس اعلام کرده‌اند: «به منظور حفظ امنیت کاربران و مشتریان در نظر داریم برنامه پاداش در مقابل شناسایی اشکالات را به مرحله اجرا در آوریم. در این برنامه هر کارشناسی که موفق شود اشکالی را در این سیستم مدیریت محتوا شناسایی کنند پاداشی دریافت خواهد کرد.» وردپرس به دنبال آن است تا پژوهشگران امنیتی را ترغیب کند تا آسیب‌پذیری‌هایی که ممکن است روی سایت‌های مختلف وجود داشته باشند را شناسایی کرده و گزارش مربوطه را برای وردپرس ارسال کنند. لازم به توضیح است که این برنامه پیش از این به شکلی محدود و عمدتا خصوصی به مرحله اجرا در آمده بود. در برنامه پیشین پاداش در ازای شناسایی باگ، وردپرس به هفت کارشناس امنیتی مبلغ 3700 دلار پاداش نقدی اهدا کرده بود.

 

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

مطالب مرتبط

برچسب: 
وردپرس - امنیت - رخنه - XSS - CSRF - SSRF - آسیب‌پذیری
به اشتراک گذاری مطلب: 
Telegram Twitter Print HTML

ایسوس

نظر شما چیست؟