القائمة الرئيسية

الصفحات

تعرض تسعة ملحقات WordPress أكثر من 1.3 مليون موقع للاستغلال

أصدرت قاعدة بيانات حكومة الولايات المتحدة للثغرات الأمنية والباحثون الأمنيون في WordPress تنبيهات حول نقاط الضعف في البرنامج المساعد WordPress. من بين هذه المكونات الإضافية ، تؤثر تسعة من المكونات الإضافية الأكثر شيوعًا على أكثر من 1.3 مليون موقع ويب.

نقاط الضعف في تسعة ملحقات WordPress

على الرغم من وجود العديد من المكونات الإضافية المعرضة للخطر ، إلا أن المكونات الإضافية التسعة الأكثر شيوعًا أثرت على أكثر من 1.3 مليون موقع ويب. وقد لوحظت نقاط الضعف

العناصر التالية مدرجة في قائمة المكونات الإضافية التسعة الضعيفة:

  1. Header Footer Code Manager أكثر من 300000 عملية تثبيت
  2. Ad Inserter – مدير الإعلانات وإعلانات AdSense أكثر من 200000 تثبيت
  3. أكثر من 200000 تثبيت
  4. أكثر من 200000 تثبيت
  5. حماية نسخ محتوى WP وعدم النقر بزر الماوس الأيمن فوق 100،000 تثبيت
  6. النسخ الاحتياطي لقاعدة البيانات لـ WordPress 100،000+ تثبيت
  7. GiveWP – البرنامج الإضافي للتبرعات ومنصة جمع التبرعات التي تزيد عن 100،000 عملية تثبيت
  8. Download Manager أكثر من 100،000 عملية تثبيت
  9. WordPress Advanced Database Cleaner Plugin أكثر من 80000 تثبيت

Header Footer Code Manager البرنامج المساعد WordPress

اكتشف باحثو الأمن في Wordfence المكوّن الإضافي WordPress Header Footer Code Manager لوجود ثغرة أمنية في البرمجة النصية عبر المواقع.

تتطلب الثغرة الأمنية من المخترق خداع المسؤول للنقر على رابط أو القيام ببعض الإجراءات الأخرى لجعله عرضة للسيطرة الكاملة على الموقع.

لاحظ الباحثون أنه نظرًا لأن هذا المكون الإضافي يؤثر على منطقة حساسة من مواقع WordPress من حيث أنه يُستخدم لإضافة كود إلى مواقع الويب ، فإن مجموعة الإجراءات الضارة يمكن أن تمتد إلى إضافة أبواب خلفية ومهاجمة زوار الموقع.

يوصي Wordfence الناشرين بتحديث عمليات التثبيت الخاصة بهم إلى الإصدار 1.1.17 على الأقل.

Ad Inserter – مدير الإعلانات وإعلانات AdSense (الإصداران المجاني والاحترافي)

ذكرت WPScan أن Ad Inserter – مدير الإعلانات وإعلانات AdSense لديها أيضًا ثغرة أمنية قد تؤدي إلى استغلال البرمجة النصية عبر المواقع العاكسة.

يتم تشجيع الناشرين على التحديث إلى الإصدار 2.7.10 على الأقل.

يحتوي هذا المكون الإضافي على ثغرة أمنية قد تؤدي إلى استغلال حقن SQL.

وفقًا لقاعدة بيانات الضعف الوطنية:

“لا يقوم المكون الإضافي WordPress Popup Builder قبل الإصدار 4.0.7 بالتحقق من صحة الطلب وإفلات معلمات الطلب قبل استخدامها في عبارة SQL في لوحة تحكم المسؤول ، مما قد يسمح للمستخدمين ذوي الامتيازات العالية بإجراء حقن SQL”

من المستحسن أن يقوم الناشرون بالتحديث إلى الإصدار 4.0.7 على الأقل من ملحق WordPress الإضافي.

أمان مضاد للبرامج الضارة وجدار حماية القوة الغاشمة

يحتوي ملحق WordPress هذا أيضًا على ثغرة أمنية مدروسة في البرمجة النصية عبر المواقع. يجب أن يمتلك المهاجم بيانات اعتماد على مستوى المسؤول لتنفيذ الهجوم.

يتم تشجيع الناشرين على التحديث إلى الإصدار 4.20.94 على الأقل.

حماية نسخ محتوى WP وعدم النقر بزر الماوس الأيمن

تم اكتشاف مكون WordPress الإضافي هذا عن طريق الأمان باحثو Patchstack الذين أبلغوا عن البرنامج المساعد لديك ثغرة أمنية عبر طلب التزوير عبر الموقع (CSRF).

يتم تشجيع الناشرين على التحديث إلى الإصدار 3.4.5 على الأقل.

النسخ الاحتياطي لقاعدة البيانات لبرنامج WordPress

أبلغ باحثو الأمن في WPScan عن وجود ثغرة أمنية في حقن SQL تؤثر على قاعدة البيانات الاحتياطية لـ WordPress والتي تدير الجزء الأكثر حساسية من أي تثبيت WordPress ، أي قاعدة البيانات.

ملاحظات من WPScan:

“لا ينظف المكون الإضافي بشكل صحيح ويتخلص من معلمة الجزء قبل استخدامه في عبارة SQL في لوحة تحكم المسؤول ، مما يؤدي إلى مشكلة إدخال SQL”

تنصح قاعدة البيانات الوطنية للثغرات الأمنية الناشرين بتحديث نسخة احتياطية من قاعدة البيانات لبرنامج WordPress إلى الإصدار 2.5.1 على الأقل.

GiveWP – البرنامج الإضافي للتبرع ومنصة جمع التبرعات

يحتوي المكون الإضافي للتبرع GiveWP على ثغرة أمنية في البرمجة النصية عبر المواقع المنعكسة. يتم تشجيع الناشرين على التحديث إلى الإصدار 2.17.3 على الأقل من المكون الإضافي.

Download Manager WordPress Plugin

يحتوي هذا المكون الإضافي على حقنة SQL التي قد تؤدي إلى هجوم برمجة عبر الموقع المنعكس. يتم تشجيع الناشرين على التحديث إلى الإصدار 3.2.34 على الأقل.

منظف ​​قواعد البيانات المتقدمة WordPress البرنامج المساعد

اكتشف باحثو الأمن هذا المكون الإضافي لاحتواء مشكلة قد تؤدي إلى هجوم برمجة انعكاس عبر المواقع. يتم تشجيع الناشرين على التحديث إلى الإصدار 3.0.4 على الأقل من المكون الإضافي.

العديد من مكونات WordPress الإضافية الضعيفة

تم الإبلاغ عن وجود ثغرات أمنية في العديد من المكونات الإضافية. لكن هذه الإضافات التسعة هي الأكثر شيوعًا.

تلقت جميع المكونات الإضافية تصحيحًا يغلق الثغرة الأمنية ، ولكن الأمر متروك للناشرين للتأكد من أنهم يستخدمون أحدث الإصدارات لحماية مواقعهم الإلكترونية وزوارهم.

يقتبس

معالج كود الرأس والتذييل
https://www.wordfence.com/blog/2022/02/reflected-xss-in-header-footer-code-manager/

Ad Inserter – مدير الإعلانات وإعلانات AdSense
https://nvd.nist.gov/vuln/detail/CVE-2022-0288

WordPress Popup Maker Plugin
https://nvd.nist.gov/vuln/detail/CVE-2022-0228

أمان مضاد للبرامج الضارة وجدار حماية القوة الغاشمة
https://nvd.nist.gov/vuln/detail/CVE-2021-25101
https://wpscan.com/vulnerability/5fd0380c-0d1d-4380-96f0-a07be5a61eba

حماية نسخ محتوى WP وعدم النقر بزر الماوس الأيمن
https://nvd.nist.gov/vuln/detail/CVE-2022-23983

النسخ الاحتياطي لقاعدة البيانات لبرنامج WordPress
https://nvd.nist.gov/vuln/detail/CVE-2022-0255

GiveWP – البرنامج الإضافي للتبرع ومنصة جمع التبرعات
https://nvd.nist.gov/vuln/detail/CVE-2021-25100
https://nvd.nist.gov/vuln/detail/CVE-2021-25099

مدير التحميل
https://nvd.nist.gov/vuln/detail/CVE-2021-25069
https://wpscan.com/vulnerability/4ff5e638-1b89-41df-b65a-f821de8934e8

منظف ​​قواعد البيانات المتقدمة WordPress البرنامج المساعد
https://nvd.nist.gov/vuln/detail/CVE-2021-24921


#تعرض #تسعة #ملحقات #WordPress #أكثر #من #مليون #موقع #للاستغلال

المصدر

reaction:

تعليقات