صفحه اصلی / امنیت / کشف آسیب پذیری در پلاگین Databese Reset وردپرس

کشف آسیب پذیری در پلاگین Databese Reset وردپرس

کشف آسیب پذیری در پلاگین Databese Reset وردپرس

پلاگین Databese Reset وردپرس که برای بازنشانی دیتابیس به صورت کامل و یا بر اساس جداول خاص مورد استفاده قرار می گیرد آسیب پذیر بوده و امکان دسترسی هکرها و کنترل کل سایت توسط این پلاگین وجود دارد. بر طبق آمار مخزن وردپرس در حال حاضر این پلاگین در بیش از ۸۰ هزار سایت فعال است. (لینک پلاگین در مخزن وردپرس)

چندی پیش تیم امنیتی “wordfence” اظهار داشته است که دو نوع آسیب پذیری به شدت خطرناک در این پلاگین وجود دارد و می توانند برای بازنشانی اجباری سایت و در دست گرفتن کامل آن توسط هکرها مورد استفاده قرار گیرند.

اولین مورد آسیب پذیری این پلاگین با شناسه CVE-2020-7048 بوده و به حدی خطرناک است که در CVSS (سیستم امتیازدهی آسیب پذیری عام) نمره ۹٫۱ را دریافت کرده است به این دلیل که در این پلاگین هیچ یک از توابع بازنشانی دیتابیس ایمن نبوده و به سادگی توسط هر کاربری بدون نیاز به احراز هویت امکان بازنشانی پایگاه داده و پاکسازی تمامی پست ها، تصاویر، کاربران، نظرات و در کل تمامی محتوای موجود در سایت وجود دارد.

دومین آسیب پذیری با شناسه CVE-2020-7047 نیز نمره ۸٫۱ را دریافت کرده است. به واسطه این آسیب پذیری، تمامی کاربران بدون در نظر گرفتن سطح دسترسی آن ها در سایت نه تنها توانایی حذف دیتابیس را داشته بلکه امکان حذف باقی کاربران را با یک درخواست ساده نیز دارند.

Chloe Chamberland (یکی از کارشناسان تیم امنیتی wordfence) در این باره می گوید:

هر زمانی که جدول WP-users بازنشانی شود در نتیجه آن به جز کاربری که وارد سایت شده است دسترسی باقی کاربران از جمله ادمین های سایت حذف می گردد. در این حالت، کاربری که در سایت حضور دارد و درخواست را ارسال کرده است به صورت اتوماتیک تبدیل به مدیر سایت می شود.

بنابراین هکر تنها با استفاده از این آسیب پذیری ها می تواند کنترل کامل سایت را در دست بگیرند.

در تاریخ ۸ ژانویه ۲۰۱۹، تیم توسعه دهنده پلاگین Database Reset توسط تیم امنیتی از این آسیب پذیری ها آگاه شده و در تاریخ ۱۴ ژانویه به صورت عمومی آسیب پذیری این پلاگین را اطلاع رسانی کردند.

چنانچه از این پلاگین استفاده می کنید، پیشنهاد می شود برای حفظ امنیت سایت خود به سرعت این پلاگین را به نسخه ۳٫۱۵ ارتقا دهید. در حال حاضر تنها ۵٫۲ درصد از کاربرانی که این پلاگین را استفاده می کنند در پی اعلام آسیب پذیری ها، آن را ارتقا داده اند.

منبع : zdnet

کشف آسیب پذیری در پلاگین Databese Reset وردپرس

این مطلب چقدر برای شما مفید بود؟

امتیاز / ۵٫ تعداد نظرات :

اولین نظر را شما ثبت کنید!

The following two tabs change content below.

منبع مطلب

این مطالب را نیز ببینید!

قالب پزشکی وردپرس Medical Heed با فونت ایران سنس به همراه بسته نصبی

قالب پزشکی وردپرس Medical Heed با فونت ایران سنس به همراه بسته نصبی

اگر دنبال این هستید برای یک پزشک، درمانگاه یا داروخانه یک سایت حرفه ای بزنید …

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *