info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

آسیب‌پذیری افزونه محبوب وردپرسی

خلاصه: وردپرس یکی از پر طرفدار ترین سیستم‌های مدیریت محتوا در ایران است. اکنون کارشناسان یک آسیب‌پذیری روی یکی از افزونه‌های پرطرفدار این سیستم مدیریت محتوا یافته‌اند که هکر‌ها می‌توانند از طریق تزریق SQL دسترسی کامل به پایگاه داده پیدا کرده و یا کنترل وب‌سایت را به دست بگیرند.

آسیب‌پذیری تزریق SQL روی یکی از افزونه‌های معروف وردپرس که روی بیش از ۳۰۰.۰۰۰ سایت فعال است می‌تواند توسط هکر‌ها مورد سوء استفاده قرار گرفته و پایگاه داده را سرقت کنند و یا دسترسی کامل از راه دور به سایت داشته باشند. این آسیب‌پذیری روی افزونه WP Statistics که نام فارسی آن آمار وردپرس است وجود دارد. این افزونه به مدیران سایت این امکان را می‌دهد که تعداد بازدید‌ها از سایت و آمار کاربران آنلاین را مشاهده کنند.

گروه امنیتی Sucuri که این آسیب‌پذیری را کشف نمودند اعلام نموده‌اند که این افزونه به تزریق SQL از راه دور آسیب‌پذیر است که به مهاجم با حداقل دسترسی اجازه سرقت اطلاعات از پایگاه داده وب‌سایت و دسترسی غیرمجاز به وب‌سایت می‌دهد.

آسیب‌پذیری تزریق SQL در چند تابع این افزونه وجود دارد. این توابع بررسی نمی‌کنند که ورودی‌ها بیش از تعداد مشخص نباشند؛ این مساله به مهاجم اجازه تزریق کد SQL‌ را می‌دهد.

این آسیب‌پذیری به تیم نویسندگان افزونه وردپرسی WP Statistics گزارش شده و این تیم آسیب‌پذیری را در نسخه جدید خود رفع نموده‌اند.

با توجه به اینکه تعداد زیادی از وب‌سایت‌ها در کشور از سیستم مدیریت محتوای وردپرس استفاده می‌کنند و این افزونه یکی از افزونه‌های پرطرفدار وردپرس است لازم است که این افزونه را سریعا به‌روز‌رسانی کنند. مدیران سایت‌های وردپرسی برای حفظ امنیت وب‌سایت خود لازم است که همیشه از آخرین نسخه وردپرس استفاده کنند و همواره افزونه‌های مورد نیاز خود را به روز نگه دارند.