القائمة الرئيسية

الصفحات

التسويق الالكترونى

يواجه WordPress عدة نقاط ضعف في الإصدارات السابقة للإصدار 6.0.3

RaiArabic
(0)

أصدر WordPress إصدارًا أمنيًا لمعالجة العديد من نقاط الضعف المكتشفة في إصدارات WordPress السابقة للإصدار 6.0.3. قام WordPress أيضًا بتحديث جميع الإصدارات منذ WordPress 3.7.

ثغرة أمنية في البرمجة النصية عبر المواقع (XSS)

أصدرت قاعدة البيانات الوطنية للثغرات الأمنية التابعة للحكومة الأمريكية تحذيرات من نقاط ضعف متعددة تؤثر على WordPress.

هناك عدة أنواع من نقاط الضعف التي تؤثر على WordPress ، بما في ذلك النوع المعروف باسم Cross Site Scripting ، والذي يشار إليه غالبًا باسم XSS.

تحدث ثغرة البرمجة عبر المواقع عادةً عندما لا يقوم تطبيق ويب مثل WordPress بفحص (تطهير) ما يتم إدخاله في نموذج أو تحميله من خلال إدخال تحميل.

يمكن للمهاجم إرسال برنامج نصي ضار إلى مستخدم يزور الموقع ويقوم بعد ذلك بتنفيذ البرنامج النصي الضار ، مما يوفر معلومات حساسة أو ملفات تعريف ارتباط تحتوي على بيانات اعتماد المستخدم للمهاجم.

هناك ثغرة أخرى تم اكتشافها تسمى Stored XSS ، والتي تعتبر بشكل عام أسوأ من هجوم XSS النموذجي.

باستخدام هجوم XSS مخزن ، يتم تخزين البرنامج النصي الضار على موقع الويب نفسه ويتم تنفيذه عندما يقوم مستخدم أو مستخدم قام بتسجيل الدخول بزيارة موقع الويب.

يُعرف النوع الثالث من الثغرات الأمنية المكتشفة باسم Cross-Site Request Forgery (CSRF).

موقع الويب الأمني ​​لمشروع أمان تطبيق الويب المفتوح (OWASP) غير الربحي يصف هذا النوع من الضعف:

“Cross-Site Request Forgery (CSRF) هو هجوم يجبر المستخدم النهائي على تنفيذ إجراءات غير مرغوب فيها على تطبيق ويب تمت مصادقته حاليًا.

بقليل من المساعدة من الهندسة الاجتماعية (مثل إرسال رابط عبر البريد الإلكتروني أو الدردشة) ، يمكن للمهاجم خداع مستخدمي تطبيق الويب لأداء الإجراءات التي يختارونها.

إذا كانت الضحية مستخدمًا عاديًا ، فقد يجبر هجوم CSRF الناجح المستخدم على تنفيذ طلبات تغيير الحالة مثل تحويل الأموال وتغيير عنوان بريده الإلكتروني وما إلى ذلك.

إذا كانت الضحية حسابًا إداريًا ، فيمكن لـ CSRF اختراق تطبيق الويب بالكامل.

فيما يلي نقاط الضعف المكتشفة:

  1. تم تخزين XSS عبر wp-mail.php (النشر عن طريق البريد الإلكتروني)
  2. افتح إعادة التوجيه في `wp_nonce_ays`
  3. يتم عرض عنوان البريد الإلكتروني الخاص بالمرسل في ملف wp-mail.php
  4. مكتبة الوسائط – انعكاس XSS عبر SQLi
  5. تزوير الطلبات عبر المواقع (CSRF) في ملف wp-trackback.php
  6. يتم تخزين XSS عبر Customizer
  7. قم بعودة نسخ المستخدم المشتركة التي تم تقديمها في 50790
  8. يتم تخزين XSS في WordPress Core من خلال تحرير التعليقات
  9. كشف البيانات من خلال نقطة نهاية الشروط / العلامات REST
  10. تسرب محتوى البريد الإلكتروني متعدد الأجزاء
  11. إدخال SQL بسبب التنظيف غير الصحيح في “WP_Date_Query”
  12. أداة RSS: مشكلة XSS مخزنة
  13. XSS مخزنة في كتلة البحث
  14. كتلة الصورة المميزة: مشكلة XSS
  15. كتلة RSS: مشكلة XSS مخزنة
  16. كتلة عنصر واجهة مستخدم XSS ثابتة

الإجراء الموصى به

أوصى WordPress جميع المستخدمين بتحديث مواقعهم على الفور.

ذكر إعلان WordPress الرسمي:

يحتوي هذا الإصدار على العديد من إصلاحات الأمان. نظرًا لأن هذا إصدار أمني ، فمن المستحسن أن تقوم بتحديث مواقعك على الفور.

تم أيضًا تحديث جميع الإصدارات منذ WordPress 3.7.

اقرأ إعلان WordPress الرسمي هنا:

إصدار أمان WordPress 6.0.3

اقرأ إدخالات قاعدة البيانات الوطنية للثغرات الأمنية للتعرف على هذه الثغرات الأمنية:

CVE-2022-43504

CVE-2022-43500

CVE-2022-43497

صورة مميزة بواسطة Shutterstock / Asier Romero


#يواجه #WordPress #عدة #نقاط #ضعف #في #الإصدارات #السابقة #للإصدار

المصدر

reaction:

أخر المواضيع الرائجة في قسم : التسويق الالكترونى

تعليقات

إرسال تعليق