قام مكون إضافي لمكافحة البريد العشوائي في WordPress يحتوي على أكثر من 60.000 تثبيت بإصلاح ثغرة أمنية لحقن كائن PHP والتي نتجت عن تعقيم الإدخال غير المناسب ، مما يسمح لاحقًا بإدخال المستخدم بترميز base64.
حقن كائن PHP غير مصدق
تم اكتشاف ثغرة أمنية في نظام Stop Spammers Security الشهير | حظر مستخدمي البريد العشوائي والتعليقات ونماذج البرنامج المساعد WordPress.
الغرض من المكون الإضافي هو إيقاف البريد العشوائي في التعليقات والنماذج والتسجيلات. يمكنه إيقاف spambots والسماح للمستخدمين بإدخال عناوين IP لحظرها.
إنها ممارسة إلزامية لأي مكون إضافي أو نموذج WordPress يقبل إدخال المستخدم للسماح فقط بإدخالات محددة ، مثل النصوص والصور وعناوين البريد الإلكتروني ، أيًا كان الإدخال المتوقع.
يجب تصفية الإدخالات غير المتوقعة. تسمى عملية التصفية هذه التي تمنع الإدخالات غير المرغوب فيها الصرف الصحي.
على سبيل المثال ، يجب أن يحتوي نموذج الاتصال على وظيفة تقوم بفحص ما يتم تقديمه وحظر (تعقيم) أي شيء ليس نصًا.
سمحت الثغرة المكتشفة في المكوّن الإضافي لمكافحة البريد العشوائي بالإدخال المشفر (المشفر في base64) والذي يمكن أن يؤدي بعد ذلك إلى نوع من الثغرات الأمنية تسمى ثغرة إدخال كائن PHP.
وصف الثغرة الأمنية نشرت على موقع WPScan يصف المشكلة على النحو التالي:
“يقوم البرنامج المساعد بتمرير مدخلات المستخدم بترميز base64 إلى وظيفة PHP unserialize () عند استخدام CAPTCHA كتحدي ثان ، مما قد يؤدي إلى إدخال كائن PHP إذا كان المكون الإضافي المثبت على المدونة يحتوي على سلسلة أدوات مناسبة …”
تصنيف الضعف هو إلغاء التسلسل غير الآمن.
تصف المنظمة غير الربحية Open Web Application Security Project (OWASP) التأثير المحتمل لهذه الأنواع من الثغرات الأمنية بأنها خطيرة ، والتي قد تكون أو لا تكون هي الحالة الخاصة بهذه الثغرة الأمنية.
ال الوصف في أواسب:
“لا يمكن المبالغة في تأثير عيوب إلغاء التسلسل. يمكن أن تؤدي هذه العيوب إلى هجمات تنفيذ التعليمات البرمجية عن بُعد ، وهي واحدة من أشد الهجمات الممكنة.
يعتمد تأثير الأعمال على احتياجات الحماية للتطبيق والبيانات.
لكن OWASP يشير أيضًا إلى أن استغلال هذا النوع من الثغرات الأمنية يميل إلى أن يكون صعبًا:
“يعد استغلال إلغاء التسلسل أمرًا صعبًا إلى حد ما ، حيث نادرًا ما تعمل عمليات الاستغلال غير التقليدية دون تغييرات أو تعديلات على رمز الاستغلال الأساسي”.
ثغرة أمنية مثبتة في الإصدار 2022.6 من WordPress Stop Spammers Security Plugin
الرسمي وقف التغيير الأمني مرسلي البريد العشوائي (وصف مع تواريخ التحديثات المختلفة) يشير إلى التصحيح كتحسين أمني.
يجب على مستخدمي المكون الإضافي Stop Spam Security التفكير في التحديث إلى أحدث إصدار لمنع المتسلل من استغلال المكون الإضافي.
اقرأ الإخطار الرسمي في قاعدة البيانات الوطنية لحالات الضعف التابعة للحكومة الأمريكية:
اقرأ منشور WPScan للحصول على التفاصيل المتعلقة بهذه الثغرة الأمنية:
إيقاف أمان مرسلي البريد العشوائي <2022.6 - حقن كائن PHP غير مصدق
صورة مميزة بواسطة Shutterstock / Luis Molinero
#تؤثر #ثغرة #البرنامج #الإضافي #لمكافحة #البريد #العشوائي #في #WordPress #على #ما #يصل #إلى #ألف #موقع
المصدر
تعليقات
إرسال تعليق