بروزرسانی: 26 خرداد 1404
نقص های امنیتی در قالب وردپرس Woffice باعث بروز رسانی فوری می شود
دو آسیب پذیری امنیتی مهم در قالب محبوب وردپرس Woffice که به مهاجمان اجازه می دهد کنترل یا دسترسی غیرمجاز را به دست آورند، اصلاح شده اند.
موضوع Woffice، یک محصول برتر که توسط Xtendify با بیش از 15000 فروش توسعه یافته است، عملکرد مدیریت تیم و پروژه را برای وردپرس فراهم می کند.
طبق گزارش Patchstack، اولین آسیب پذیری یک آسیب پذیری افزایش امتیاز است که کاربران احراز هویت نشده را قادر می سازد تا به ،وان هر نقشی، از جمله مدیر، ثبت نام کنند. این می تواند به مهاجمان اجازه دهد تا کنترل کامل وب سایت آسیب دیده را در دست بگیرند. گزینه دوم فعال ، تصاحب حساب غیرمجاز (ATO) است که به مهاجمان اجازه می دهد به ،وان هر کاربر موجود، از جمله مدیر سایت، وارد شوند.
هر دو مشکل در قابلیت ورود و ثبت نام سفارشی تم یافت شد.
به کاربران Woffice توصیه می شود هم اکنون پچ کنند
وصله های این آسیب پذیری ها اکنون منتشر شده است.
برای رسیدگی به مشکل افزایش امتیاز، توسعه دهندگان یک لیست رد ، را برای جلوگیری از ثبت نقش های غیرمجاز و مسدود ، صریح نقش های سرپرست پیاده سازی کرده اند. برای آسیب پذیری تصاحب حساب، آنها تابع معیوب register_redirect() را حذف ،د که اجازه ورود غیرمجاز را می داد.
این پچ ها به صورت مرحله ای منتشر شدند. نسخه 5.4.12 یک آسیب پذیری افزایش امتیاز را برطرف کرد، در حالی که نسخه 5.4.15 آسیب پذیری تصاحب حساب را برطرف کرد. پچ نهایی پس از آزمایش و اعتبارسنجی گسترده در 18 نوامبر 2024 منتشر شد.
درباره آسیب پذیری های تأثیرگذار بر سایت های وردپرس بیشتر بخو،د: نقص مهم در افزونه LiteS،d \u200b\u200bCache، سایت های وردپرس را آشکار می کند
کاربران Woffice باید فورا به نسخه 5.4.15 به روز رس، کنند تا سایت خود را ایمن کنند. عدم به روز رس، می تواند وب سایت ها را در برابر تصاحب کامل یا نصب کدهای م،ب روی سرور آسیب پذیر کند.
با،تاک هشدار داد: «آسیب پذیری هایی که در اینجا مورد بحث قرار می گیرند، اهمیت ثبت گزارش امن را برجسته می کنند. "مدیران، کاملا منطقی، قدرت زیادی در مورد کنترل یک سایت وردپرس دارند - اجازه دادن به کاربران ناشناس این سطح از امتیاز می تواند بسیار خطرناک باشد."
این شرکت همچنین به توسعه دهندگان توصیه کرد که رویه های دقیق اعتبار سنجی نقش و احراز هویت را برای جلوگیری از آسیب پذیری های مشابه در سیستم های ورود و ثبت سفارشی اتخاذ کنند. این پادمان ها برای حفظ یک محیط امن وردپرس ضروری هستند.
اعتبار تصویر: Wirestock Creators / Shutterstock.com
منبع: https://www.infosecurity-magazine.com/news/security-flaws-wordpress-woffice/