أعلن WordPress أنه أصلح أربع نقاط ضعف مصنفة حتى 8 على مقياس من 1 إلى 10. تم العثور على نقاط الضعف في جوهر WordPress نفسه وترجع إلى نقاط الضعف التي قدمها فريق تطوير WordPress نفسه.
أربع نقاط ضعف في ووردبريس
افتقر إعلان WordPress إلى تفاصيل حول شدة الثغرات وكانت التفاصيل نادرة.
Cependant, la base de données nationale sur les vulnérabilités du gouvernement des États-Unis, où les vulnérabilités sont enregistrées et rendues publiques, a évalué les vulnérabilités jusqu’à 8,0 sur une échelle de 1 à 10, dix représentant le niveau de danger أعلى.
نقاط الضعف الأربعة هي:
- إدخال SQL بسبب نقص تعقيم البيانات في WP_Meta_Query (مستوى الخطورة العالي ، 7.4)
- حقن الأشياء المصدق عليها في مواقع متعددة (متوسط مستوى الخطورة 6.6)
- برمجة نصية عبر المواقع المخزنة (XSS) عبر المستخدمين المصادق عليهم (درجة عالية من الخطورة ، 8.0)
- حقن SQL عبر WP_Query بسبب التطهير غير المناسب (مستوى الخطورة العالي ، 8.0)
دعاية
أكمل القراءة أدناه
تم اكتشاف ثلاث من الثغرات الأمنية الأربعة بواسطة باحثين أمنيين خارج WordPress. لم يكن لدى WordPress أي فكرة حتى سمعوا عنها.
تم الكشف عن الثغرات الأمنية بشكل خاص لـ WordPress ، مما سمح لـ WordPress بمعالجة المشكلات قبل أن تصبح معروفة على نطاق واسع.
تسارع تطوير ووردبريس بطريقة خطيرة؟
تباطأ تطوير WordPress في عام 2021 حيث لم يتمكنوا من إكمال العمل على الإصدار الأخير ، 5.9 ، الذي شهد هذا الإصدار من تم تأجيل WordPress حتى عام 2022.
كان هناك حديث داخل WordPress عن الحد من التطوير. لقد أطلق مطورو WordPress الرئيسيون أنفسهم ناقوس الخطر بشأن وتيرة التطوير ، مطالبين بمزيد من الوقت.
دعاية
أكمل القراءة أدناه
أحد المطورين محذر:
“بشكل عام ، يبدو أننا نسرع في الأمور بطريقة خطيرة في الوقت الحالي.”
نظرًا لأن WordPress لا يمكنه الوفاء بجدول الإصدار الخاص به ويناقش تقليل جدول إصداره لعام 2022 من أربعة إصدارات إلى ثلاثة ، يتعين على المرء أن يتساءل عن وتيرة تطوير WordPress وما إذا كان هناك المزيد من العمل الذي يتعين القيام به. . الجمهور.
مشاكل تطهير البيانات في ووردبريس
يعد تطهير البيانات طريقة للتحكم في نوع المعلومات التي تمر عبر الإدخالات إلى قاعدة البيانات. تحتوي قاعدة البيانات على معلومات حول الموقع ، بما في ذلك كلمات المرور وأسماء المستخدمين ومعلومات المستخدم والمحتوى والمعلومات الأخرى اللازمة لتشغيل الموقع.
توثيق ووردبريس يصف تطهير البيانات:
“التطهير هو عملية تنظيف أو تصفية بيانات الإدخال الخاصة بك. سواء كانت البيانات تأتي من مستخدم أو واجهة برمجة تطبيقات أو خدمة ويب ، فإنك تستخدم التطهير عندما لا تعرف ما يمكن توقعه أو لا تريد أن تكون صارمًا في التحقق من صحة البيانات.
تشير الوثائق إلى أنه من المفترض أن يتضمن WordPress وظائف مساعد مدمجة للحماية من المدخلات الضارة وأن استخدام هذه الوظائف المساعدة يتطلب أقل جهد ممكن.
وفقًا لوثائق WordPress الخاصة ، فإن هذه الثغرات الأمنية متوقعة ، لذلك من المدهش أنها تظهر في قلب WordPress.
دعاية
أكمل القراءة أدناه
كان هناك نوعان من نقاط الضعف عالية المستوى المتعلقة بالتطهير غير المناسب:
- WordPress: حقن SQL بسبب التطهير غير الصحيح في WP_Meta_Query
بسبب نقص الصرف الصحي المناسب في WP_Meta_Query ، هناك احتمال لحقن SQL الأعمى - WordPress: حقن SQL عبر WP_Query
بسبب التطهير غير المناسب في WP_Query ، قد تكون هناك حالات يكون فيها إدخال SQL ممكنًا من خلال المكونات الإضافية أو السمات التي تستخدمها بطريقة معينة.
نقاط الضعف الأخرى هي:
- WordPress: حقن كائنات مصادق عليها في مواقع متعددة
على مواقع متعددة ، يمكن للمستخدمين الذين لديهم دور المسؤول المتميز تجاوز التقوية الصريحة / الإضافية في ظل ظروف معينة من خلال حقن الكائن. - WordPress: يتم تخزين XSS من خلال مستخدمين مصادق عليهم
يستطيع المستخدمون المصادقون بامتيازات منخفضة (مثل المؤلف) في نواة WordPress تنفيذ JavaScript / تنفيذ هجوم XSS المخزن ، مما قد يؤثر على المستخدمين ذوي الامتيازات العالية.
يوصي WordPress بالتحديث الفوري
نظرًا لأن الثغرات الأمنية مفتوحة الآن ، فمن المهم لمستخدمي WordPress التأكد من تحديث تثبيت WordPress الخاص بهم إلى أحدث إصدار ، حاليًا 5.8.3.
دعاية
أكمل القراءة أدناه
نصح WordPress بتحديث التثبيت على الفور.
يقتبس
اقرأ إشعار WordPress الرسمي
تقارير قاعدة بيانات الضعف الوطنية
حقن الأشياء المصدق عليها في مواقع متعددة
تم تخزين XSS من خلال المستخدمين المصادق عليهم
#تؤثر #نقاط #الضعف #الرئيسية #في #WordPress #على #ملايين #المواقع
المصدر
تعليقات
إرسال تعليق