رفع نقص امنیتی افزونه‌ی پرکاربرد وردپرس

0
293
وردپرس - افزونه‌ All in One SEO Pack

آسیب‌پذیری XSS، امکان دسترسی به حساب‌های Admin سایت های وردپرسی را فراهم می‌سازد.

اگر وب‌سایتی دارید که با CMS محبوب WordPress مدیریت می‌شود و افزونه‌ی معروف All in One SEO Pack نیز روی آن نصب است، حتما افزونه خود را به‌روزرسانی نمایید؛ زیرا این پلاگین دچار نقص امنیتی بزرگی بوده که در آخرین بروزرسانی طی هفته گذشته رفع گردید، نقصی که در گذشته می‌توانست منجر به دسترسی به حساب Admin سایت گردد!

این آسیب‌پذیری در قابلیت Bot Blocker افزونه‌ قرار دارد و می‌تواند به صورت Remote و با ارسال درخواست‌های HTTP با عنوان‌هایی که مشخصا برای آن وب‌سایت طراحی شده‌اند، از اطلاعات کاربری سایت سوء استفاده نماید.

 به گزارش David Vaartjes، محقق امنیتی که این نقص را کشف و اعلام نمود، بخش Bot Blocker در این افزونه، به مدیران سایت این امکان را می‌دهد که از دستیابی و تخریب سایت توسط اسپم‌بات‌ها (Spambot) با شناسایی و مسدود نمودن آنها جلوگیری نماید.

اگر تنظیمات Track Blocked Bots فعال شود ( که البته به صورت پیش‌فرض غیرفعال است)، این افزونه همه درخواست‌های Blockشده را ثبت می‌نماید و آنها را روی صفحه‌ی HTML در پنل Admin سایت به نمایش درمی‌آورد.

از آنجا که افزونه قادر به پاکسازی صحیح درخواست‌ها قبل از نمایش آنها نیست، Attackerها می‌توانند کد JavaScript خطرناکی را در عنوان‌های درخواست قرار دهند که به این کد اجازه می‌دهد تا به صورت بخشی از صفحه HTML دربیاید.

این امر امکان حمله مداوم (Cross-site Scripting (XSS را فراهم می‌آورد تا هرگاه کاربر صفحه‌ی ثبت درخواست‌‌ها را مشاهده می‌نماید، کد مخرب اجرا شود. از آنجا که این صفحه در پنل Admin قرار دارد، کاربر احتمالا همان Administrator خواهد بود و این کد می‌تواند Session Tokenهای آنها را به سرقت ببرد.

 این Token شامل مقادیری است که در مرورگر ذخیره می‌شود و ورود (Log In) کاربر را شناسایی می نماید.‌ با جاگذاری این مقادیر در مرورگرهای کاربران، Attackerها می‌توانند به عنوان Administrator و بدون تایید هویت (Authenticate) به پنل مدیریتی وب‌سایت دسترسی داشته باشند.

سازنده افزونه‌ All in One SEO Pack ، شرکت Semper Fi Web Design است که طی روزهای گذشته، آخرین نسخه خود (۲.۳.۷) را منتشر نمود تا این آسیب‌پذیری را رفع نماید. به کاربران توصیه می‌شود که در اولین فرصت افزونه‌ی خود را ارتقا دهند یا حتما تنظیم Track Blocked Bots را غیرفعال کنند.

افزونه‌ All in One SEO Pack ، امکانات بهینه‌سازی بسیاری برای موتور جستجو ارائه می‌نماید که به منظور بهبود جایگاه وبسایت در نتایج جستجو مورد استفاده قرار می‌گیرند.

طبق آمار منبع افزونه‌های وردپرس، این افزونه با بیش از یک میلیون نصب فعال، محبوبیت بسیاری برای خود کسب نموده است.

بدون دیدگاه

دیدگاهتان را بنویسید

*