13 مه
آسیب پذیری وردپرس وصله گذاری شده است. این پچ برای نسخه 5.7.2 وردپرس اعمال می شود. سایتهایی که بارگیری خودکار را انجام می دهند باید این به روزرسانی را بدون اقدام اضافی توسط ناشران دریافت کنند.
ناشران توصیه می شود برای اطمینان از بروزرسانی آنها به نسخه 5.7.2 ، از چه نسخه وردپرسی استفاده می کنند.
آسیب پذیری تزریق شی
به این آسیب پذیری که روی وردپرس تأثیر می گذارد ، آسیب پذیری Object Injection گفته می شود. به طور خاص ، این یک تزریق شی در آسیب پذیری PHPMailer است.
بر اساس وب سایت امنیتی Owasp.org، این تعریف آسیب پذیری تزریق اشیا PH PHP است:
“PHP Object Injection یک آسیب پذیری سطح برنامه است که می تواند به یک مهاجم اجازه دهد تا انواع مختلف حملات مخرب مانند Code Injection ، SQL Injection ، Path Traversal و Application Denial of Service را انجام دهد ، بسته به زمینه.
این آسیب پذیری هنگامی رخ می دهد که ورودی ارائه شده توسط کاربر قبل از انتقال به عملکرد غیر سریال () PHP به درستی پاک نشود.
از آنجا که PHP اجازه سریال سازی اشیا را می دهد ، مهاجمان می توانند رشته های سریال سازی شده موقت را به یک تماس غیر سریال () آسیب پذیر منتقل کنند و در نتیجه یک اشیا object (اچ پی) PHP به دامنه برنامه تزریق شود. “
تبلیغات
ادامه مطلب را در زیر بخوانید
آسیب پذیری وردپرس به عنوان مهم ارزیابی شده است
این آسیب پذیری نزدیک به بالاترین سطح رتبه بندی خطر ارزیابی شده است. در مقیاس 1 تا 10 با استفاده از سیستم آسیب پذیری مشترک (CVSS) ، این آسیب پذیری 9.8 ارزیابی شده است.
وب سایت امنیتی Patchstack رتبه بندی رسمی آسیب پذیری دولت ایالات متحده را منتشر کرد.
آسیب پذیری وردپرس دارای امتیاز حیاتی است
آسیب پذیری وردپرس در مقیاس 1 تا 10 9.8 درجه بندی شده است.بر اساس سایت امنیتی Patchstack که جزئیات آسیب پذیری را منتشر کرد:
تبلیغات
ادامه مطلب را در زیر بخوانید
“جزئیات
تزریق شی در آسیب پذیری PHPMailer در وردپرس کشف شده است (یک مسئله امنیتی که نسخه های وردپرس بین 3.7 و 5.7 را تحت تأثیر قرار می دهد).
راه حل
وردپرس را به آخرین نسخه موجود به روز کنید (حداقل 5.7.2). تمام نسخه های وردپرس از 3.7 نیز به روز شده اند تا مشکل امنیتی زیر را برطرف کنند. “
در اعلامیه رسمی وردپرس برای وردپرس 5.7.2 آمده است:
«به روزرسانی های امنیتی
یک مسئله امنیتی روی نسخه های وردپرس بین 3.7 تا 5.7 تأثیر می گذارد.اگر هنوز به نسخه 5.7 به روز نشده اید ، تمام نسخه های وردپرس از 3.7 نیز برای رفع مشکلات امنیتی زیر به روز شده اند:
تزریق شی در PHPMailer ”
وب سایت رسمی بانک ملی آسیب پذیری دولت ایالات متحده که آسیب پذیری ها را اعلام می کند ، خاطرنشان کرد که این مشکل به این دلیل اتفاق افتاده است که رفع اشکال قبلی یک مشکل جدید ایجاد کرده است.
دولت آمریكا پایگاه ملی آسیب پذیری آسیب پذیری را اینگونه توصیف می کند:
“PHPMailer 6.1.8 تا 6.4.0 اجازه تزریق اشیاer از طریق Phar Deserialization از طریق addA Attachment با نام UNC را می دهد.
توجه: این مشابه CVE-2018-19296 است ، اما به این دلیل بوجود آمد که 6.1.8 یک مشکل عملکردی را حل کرد که در آن نام های UNC همیشه توسط PHPMailer ، حتی در زمینه های امن ، غیرقابل خواندن تلقی می شد.
به عنوان یک عارضه جانبی ناخواسته ، این اصلاح کدی را که مانع بهره برداری از addAttachment شده بود از بین برد. “
پایگاه ملی آسیب پذیری آسیب پذیری وردپرس را بسیار مهم ارزیابی می کند
بلافاصله وردپرس را به روز کنید
ناشرانی که از وردپرس استفاده می کنند باید بررسی کنند که آیا جدیدترین نسخه نصب شده در وردپرس است. جدیدترین نسخه وردپرس نسخه 5.7.2 است.
تبلیغات
ادامه مطلب را در زیر بخوانید
از آنجا که رتبه بندی آسیب پذیری بسیار حیاتی است ، ممکن است به این معنی باشد که عواقب عدم به روزرسانی وردپرس به نسخه 5.7.2 ممکن است یک سایت را در برابر رویداد هک آسیب پذیر کند.