Type To Search

23 اکتبردسته‌بندی نشده

بیش از 300000 نصب از Catch Themes پلاگین های وردپرس آسیب پذیر هستند

by niclink0 Comments
250

محققان امنیتی در WPScan و Wordfence هفده افزونه منتشر شده Catch Plugins (بخشی از Catch Themes، LLC) را شناسایی کرده‌اند که دارای آسیب‌پذیری هستند. این آسیب پذیری ها دارای رتبه بالایی هستند و می توانند منجر به این شوند که مهاجم بتواند تنظیمات افزونه را تغییر دهد.

جعل درخواست متقابل سایت (CSRF)

یک اکسپلویت احراز هویت کاربر (بدون بررسی قابلیت) و یک آسیب‌پذیری Cross Site Request Forgery (CSRF) بر 17 افزونه منتشر شده توسط Catch Themes تأثیر می‌گذارد.

این آسیب‌پذیری‌ها به هر کاربر وارد شده، حتی مشترک، اجازه می‌دهد تا تغییراتی را انجام دهد که معمولاً برای کاربران وردپرس با بالاترین امتیاز ویرایش، مانند مدیر وب‌سایت، محفوظ است.

طبق گفته ناشر افزونه امنیتی وردپرس WPScan:

تبلیغات

ادامه مطلب در زیر

“چند پلاگین از فروشنده CatchThemes قابلیت و بررسی CSRF را در عمل ctp_switch AJAX انجام نمی‌دهند، که می‌تواند به هر کاربر احراز هویت شده، مانند Subscriber اجازه دهد تا تنظیمات افزونه را تغییر دهد.”

Wordfence آسیب‌پذیری را در Catch Demo Import Plugin WordPress گزارش می‌کند

Wordfence اطلاعیه‌ای درباره یک آسیب‌پذیری حیاتی که در یکی از این افزونه‌ها کشف شده است منتشر کرد، Catch Themes Demo Import (نسخه‌های تا و شامل نسخه 1.7).

تم های گرفتن افزونه دمو Import وردپرس مشخص شد که دارای یک آسیب پذیری آپلود فایل دلخواه.

مشخص نیست که این آسیب پذیری خاص چقدر شدید است. این آسیب پذیری توسط Wordfence در مقیاس 1 تا 10 9.1 رتبه بندی شد و به عنوان بحرانی توصیف شد. با این حال ، این آسیب پذیری در پایگاه ملی آسیب پذیری دولت ایالات متحده با رتبه 7.2 (بالا) ذکر شده است.

تبلیغات

ادامه مطلب در زیر

به گزارش Wordfence:

“افزونه Catch Themes Demo Import WordPress در برابر آپلودهای دلخواه فایل از طریق عملکرد واردات موجود در فایل ~/inc/CatchThemesDemoImport.php، در نسخه های تا و شامل 1.7 آسیب پذیر است، به دلیل اعتبار سنجی ناکافی نوع فایل.”

Wordfence ارتقاء به نسخه 1.8 یا جدیدتر را توصیه می کند.

آسیب‌پذیری‌هایی در افزونه‌های وردپرس Seventeen Catch Themes کشف شد

WPScan هفده افزونه وردپرس Catch Themes را فهرست می‌کند که دارای آسیب‌پذیری هستند. همه هفده مورد به ناشر افزونه فاش شده و رفع شده اند.

بیش از 300000 نصب تحت تأثیر قرار گرفته است

بسیاری از هفده پلاگین بسیار محبوب هستند.

اینها 10 افزونه محبوب Catch Themes هستند که تعداد نصب‌ها در کنار آنها ذکر شده است.

10 محبوب‌ترین افزونه‌های آسیب‌پذیر تم Catch

  1. به اوج – به بالا – به سمت قله80000 نصب
  2. نوع محتوای ضروریs – 50000 نصب
  3. گرفتن شناسه ها40000 تاسیسات
  4. گرفتن ابزارهای وب20000 نصب
  5. گالری اجتماعی و ویجت20000 تاسیسات
  6. اسکرول بی نهایت را بگیرید20000 نصب
  7. گرفتن گالری20000 تاسیسات
  8. ابزارک های ضروری20000 تاسیسات
  9. گرفتن گالری و ویجت فید اینستاگرام (گالری اجتماعی و ویجت)20000 نصب
  10. واردات نسخه ی نمایشی تم ها را بگیرید10000 نصب

افزونه های آسیب پذیر Seventeen Catch Themes

اینها هفده پلاگین گزارش شده توسط WPScan هستند که دارای یک آسیب پذیری هستند که متعاقباً وصله شد:

  1. ابزارک های ضروری
    در نسخه 1.9 رفع شد
  2. به اوج – به بالا – به سمت قله
    ثابت در نسخه 2.3.3
  3. افزایش هدر
    در نسخه 1.5 رفع شد
  4. ایجاد تم کودک
    در نسخه 1.6 رفع شد
  5. انواع محتوای ضروری
    در نسخه 1.9 رفع شد
  6. Catch Web Tools
    در نسخه 2.7 رفع شد
  7. گرفتن در حال ساخت
    در نسخه 1.4 رفع شد
  8. واردات نسخه ی نمایشی تم ها را بگیرید
    در نسخه 1.6 رفع شد
  9. منوی چسبنده را بگیرید
    در نسخه 1.7 رفع شد
  10. نوار پیشرفت اسکرول را بگیرید
    در نسخه 1.6 رفع شد
  11. گالری و ویجت فید اینستاگرام (گالری اجتماعی و ویجت) را بگیرید
    در نسخه 2.3 رفع شد
  12. اسکرول بی نهایت را بگیرید
    در نسخه 1.9 رفع شد
  13. صادرات واردات را بگیر
    در نسخه 1.9 رفع شد
  14. گرفتن گالری
    در نسخه 1.7 رفع شد
  15. Catch Duplicate Switcher را بگیرید
    در نسخه 1.6 ثابت شده است
  16. Breadcrumb را بگیرید
    در نسخه 1.7 رفع شد
  17. شناسه های گرفتن
    در نسخه 2.4 رفع شد

تبلیغات

ادامه مطلب در زیر

به کاربران توصیه می‌شود به‌روزرسانی به آخرین نسخه‌های افزونه را در نظر بگیرند

ناشرانی که از افزونه‌های Catch Themes آسیب‌دیده استفاده می‌کنند و می‌خواهند از عواقب ناخواسته استفاده از نسخه‌های آسیب‌پذیر آن افزونه‌ها جلوگیری کنند، باید به آخرین نسخه‌های افزونه‌ها که اکنون در دسترس هستند، ارتقا دهند.

عدم انجام این کار ممکن است منجر به قرار گرفتن غیر ضروری در معرض یک رویداد هک شود.

استناد

مشاوره WPScan در مورد پلاگین های Catch Themes را بخوانید

چندین پلاگین از CatchThemes – تغییر تنظیمات غیرمجاز پلاگین

افزونه Wordfence Advisory of Catch Themes

Catch Themes Demo Import <= 1.7 Admin+ آپلود فایل دلخواه

مشاوره افزونه ها در مورد پایگاه داده آسیب پذیری ملی Catch Themes

CVE-2021-39352 آسیب پذیری افزونه وردپرس نسخه ی نمایشی Catch Themes وارد کردن جزئیات

تبلیغات

ادامه مطلب در زیر

فهرست پایگاه های آسیب پذیری ملی فهرست افزونه های تم چندگانه گیر آسیب پذیری ها

Related posts:

  1. Google در برخورد با استفاده پنهانی از دامنه های منقضی شده
  2. روش های بهینه سازی شده برای بهینه سازی Google Snippets ویژه داده ها
  3. YouTube راه های بیشتری برای ساختن هایپ برای یک ویدیوی جدید دارد
  4. Google در مورد مجازات کردن اطلاعات نادرست

10 ابزار ضروری استخدام برای استارتاپ ها | مقالات

اکتبر 23, 2021

چرا TikTok اینقدر محبوب است؟

اکتبر 24, 2021

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *