Smash Balloon Social Post Feed، یک افزونه وردپرس، کشف شد که دارای آسیبپذیری است که وبسایتها را در معرض اجازه دادن به مهاجم برای آپلود اسکریپتهای مخرب قرار میدهد. محققان امنیتی در Jetpack این آسیبپذیری را کشف کردند و به ناشران افزونه که آن را اصلاح کردند و نسخه ثابت نسخه 4.0.1 را منتشر کردند، اطلاع دادند. نسخه های قبل از آن آسیب پذیر هستند.
فید پست اجتماعی Smash Balloon
افزونه Smash Balloon Social Post Feed وردپرس فیدهای فیس بوک را دریافت می کند و آنها را به پست در یک سایت وردپرس تبدیل می کند.
نسخه رایگان این افزونه برای نمایش پست های فیس بوک به گونه ای طراحی شده است که با ظاهر و احساس سایتی که محتوای فیس بوک در آن بازنشر می شود مطابقت داشته باشد. نسخه پولی “pro” نیز تصاویر، ویدیوها و نظرات را بازنشر می کند.
تبلیغات
ادامه مطلب زیر
اسکریپت بین سایتی ذخیره شده از طریق بهروزرسانی تنظیمات دلخواه
یک اکسپلویت Stored Cross-Site Scripting (Stored XSS) شکلی از آسیبپذیری برنامهنویسی متقابل سایت است که به مهاجم مخرب اجازه میدهد تا اسکریپتهای مضر را در خود سرور آپلود کرده و به طور دائم ذخیره کند.
تو غیر انتفاعی Web Application Security Project را باز کنیدt (OWASP) آسیب پذیری های ذخیره شده XSS را شرح می دهد:
“حملات ذخیره شده آنهایی هستند که اسکریپت تزریق شده به طور دائم در سرورهای هدف ذخیره می شود، مانند یک پایگاه داده ….
سپس قربانی هنگامی که اطلاعات ذخیره شده را درخواست می کند، اسکریپت مخرب را از سرور بازیابی می کند.
چک های امتیازی و غیر از دست رفته است
هشدار امنیتی منتشر شده توسط Jetpack اعلام کرد که افزونه Smash Balloon Social Post Feed وردپرس دارای دو مشکل امنیتی است که باعث تبدیل آن به یک مشکل امنیتی شده است. چک های امتیازی و غیرانسی وجود نداشت.
تبلیغات
ادامه مطلب زیر
حملات XSS معمولاً می توانند هر جا که راهی برای آپلود یا وارد کردن چیزی در یک سایت وردپرس وجود دارد اتفاق بیفتد. این می تواند از طریق یک فرم، در نظرات، هر کجا که کاربر می تواند داده ها را وارد کند.
یک افزونه وردپرس قرار است با انجام بررسی هایی از سایت محافظت کند، از جمله بررسی سطح امتیاز یک کاربر (مشترک، ویرایشگر، مدیر).
بدون بررسی امتیاز مناسب، یک کاربر در پایینترین سطح، مانند یک مشترک، میتواند اقداماتی را انجام دهد که معمولاً به بالاترین سطوح دسترسی نیاز دارند، مانند امتیازات سطح سرپرست.
nonce یک نشانه امنیتی یک بار مصرف است که برای محافظت از ورودی ها در برابر حملات طراحی شده است.
وردپرس Nیک بار مستندات ارزش nonces را توضیح می دهد:
اگر موضوع شما به کاربران اجازه می دهد داده ها را ارسال کنند. در Admin یا Front-end باشد. nonces میتواند برای تأیید اینکه کاربر قصد انجام یک عمل را دارد استفاده میشود و در محافظت در برابر جعل درخواست متقاطع (CSRF) مفید است.
به عنوان مثال یک سایت وردپرسی است که در آن کاربران مجاز مجاز به آپلود ویدیو هستند.”
Jetpack یک آسیبپذیری را در افزونه Smash Balloon شناسایی کرد که در انجام بررسیهای امتیازی و غیرعادی شکست خورده بود، که سایت را برای حمله باز کرد.
Jetpack توضیح داد که چگونه این آسیب پذیری وب سایت ها را در معرض دید قرار می دهد:
«عمل wp_ajax_cff_save_settings AJAX، که مسئول بهروزرسانی تنظیمات داخلی افزونه است، قبل از انجام این کار، هیچ بررسی امتیازی یا غیرمنتظرهای انجام نداد. این امکان را برای همه کاربرانی که وارد سیستم شده اند را فراهم می کند تا این اکشن را فراخوانی کنند و هر یک از تنظیمات افزونه را به روز کنند.
متأسفانه یکی از این تنظیمات، customJS، مدیران را قادر می سازد تا جاوا اسکریپت سفارشی را در پست ها و صفحات سایت خود ذخیره کنند. بهروزرسانی این تنظیمات تنها چیزی است که برای یک بازیگر بدکار باید اسکریپتهای مخرب را در سایت ذخیره کند.»
تبلیغات
ادامه مطلب زیر
لاگ تغییرات افزونه Smash Balloon Social Post Feed وردپرس، که محتوای هر نسخه بهروزرسانی را ثبت میکند، به درستی اشاره میکند که یک مشکل امنیتی برطرف شده است.
نه تنها مسئول رفع به موقع آسیبپذیریها است، کاری که Smash Balloon انجام داد، بلکه همچنین مسئول است که آن را در تغییرات ثبت کند، کاری که Smash Balloon نیز انجام داد.
تغییرات ثبت شده بیان می کند:
“رفع: تقویت امنیتی بهبود یافته.”
اسکرین شات از تغییرات فید پست اجتماعی Smash Balloon
عمل پیشنهاد شده
فید پست اجتماعی Smash Balloon اخیراً برای رفع حمله ذخیره شده XSS که امکان آپلود اسکریپت های مخرب را فراهم می کند وصله شده است.
تبلیغات
ادامه مطلب زیر
Jetpack توصیه میکند که فید پست اجتماعی Smash Balloon را به آخرین نسخه که نسخه 4.0.1 است، بهروزرسانی کنید. عدم انجام این کار ممکن است نصب وردپرس را ناامن کند.
استناد
مشاوره امنیتی Jetpack
مشکلات امنیتی در افزونه فید پست اجتماعی Smash Balloon اصلاح شد