۱۳۹۸-۰۳-۱۳ ۰۹:۳۸
تنظیم اندازه قلم

پ

۲:۰۰
اخبار فناوری

استفاده مهاجمان از نقص پلاگین وردپرس برای تزریق اسکریپت‌های مخرب

Zscaler هشدار می‌دهد که مهاجمان توانایی استفاده از یک اشکال به راحتی قابل بهره‌برداری در افزونه WP Chat Chat را برای تزریق جاوا اسکریپت مخرب در سایت‌های آسیب‌پذیر را دارند.

آسیب‌پذیری اسکریپت ذخیره شده که مهاجمان از آنها سوءاستفاده می‌کنند، در اوایل سال جاری توسط محققان Sucuri کشف شد و توسعه دهندگان پلاگین یک به روز رسانی امنیتی را که در روز ۱۵ ماه مه آنها را برطرف کرد، تحت فشار قرار دادند.

محقق Zscaler Shrotriya اشاره کرد: آسیب‌پذیری به یک مهاجمان اجازه می‌دهد تا تنظیمات پلاگین را با تماس با یک admin_init hook  محافظت نشده محافظت کند و تزریق کد مخرب جاوا را در هر جایی که در آن پشتیبانی چت پشتیبانی می‌کند، تزریق کند.

Wordpress-Broken.png
اسکریپت تزریق یک درخواست برای دامنه متعلق به مهاجم ارسال می‌کند تا اسکریپت اصلی را اجرا کند، که باعث می‌شود مسیریابی از طریق URL های مختلف انجام شود که آگهی‌های تبلیغاتی ناخواسته و پیام های خطا جعلی را نشان می‌دهد. سایر منابع از سایت‌های هرزنامه دیگر به کاربران هدایت می‌شوند.

پشتیبانی گپ  Live یکی از محبوب‌ترین افزونه‌های چت وردپرس است که با بیش از ۵۰۰۰۰ تاسیسات فعال داشته و به این ترتیب پتانسیل بالایی برای حمله کنندگان دارد.

آنها اخیرا قادر به استفاده از نقص دیگری در افزونه بوده‌اند، که به آنها اجازه می‌دهد تا فایل‌های مخرب دلخواه را به سیستم‌های آسیب‌پذیر آپلود کنند. با توجه به نظرات برخی از کاربران، تکه‌های اولیه این آسیب‌پذیری ظاهرا موثر نبودند.

کاربران توصیه می‌کنند که افزونه را به آخرین نسخه ارائه شده (۸.۰.۳۲) به روزرسانی کنند، اما ممکن است تصمیم بگیرند آن را به طور کامل غیرفعال کنند تا زمانی که تأیید کنند که همه تکه‌ها کار می‌کنند. آنها همچنین خواسته‌اند کد سایت خود را پاک کنند تا اسکریپت های مجرم را حذف کنند.

wordpress-problems.jpg
 Shrotriya  اشاره کرد، مجرمان سایبری به طور جدی در آسیب‌پذیری‌های جدید در سیستم‌های مدیریت محتوای محبوب مانند وردپرس و دروپال، و همچنین محبوب پلاگین‌هایی که در بسیاری از وب سایت‌ها یافت می‌شود، به دنبال آن هستند. آسیب‌پذیری ناخواسته در CMS یا پلاگین‌های مربوطه، یک نقطه ورود برای مهاجمین را فراهم می‌سازد تا به وسیله تزریق کد مخرب و تأثیر کاربران بی‌نظیر از بازدید از این سایت‌ها، به آنها آسیب برساند و از کاربران خواسته است تا آنها را به‌روز نگه دارد.

توسعه دهندگان تایید کرده‌اند که به تازگی به روزرسانی‌هایی را برای پشتیبانی WP Chat Chat منتشر کرده‌اند که هر دو مسائل را تصحیح کرده و کاربران را برای ارتقاء به نسخه ۸.۰.۳۲ (به روز رسانی های اخیر منتشر شده) توصیه می‌کنند.

 

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

اخبار مرتبط