به روزرسانی افزونه وردپرسی WP Statistics
پلاگین وردپرس با 300 هزار مخاطب، رخنه تزریق کد SQL دارد
کارشناسان امنیتی به تازگی گزارش کرده‌اند یک آسیب‌پذیری تزریق کد SQL را در یکی از معروف‌ترین افزونه‌های وردپرس شناسایی کرده‌اند. این افزونه که روی بیش از 300 هزار سایت وردپرس نصب شده است اکنون این سایت‌ها را در معرض یک حمله هکری جدی قرار داده است. هکرها به واسطه این آسیب‌پذیری قادر هستند به بانک اطلاعاتی کامل یک سایت دسترسی پیدا کرده یا بدتر از آن کنترل یک سایت را به دست آورند.

آسیب‌پذیری تزریق کد SQL در افزونه WP Statistics که در ارتباط با آمارگیری مورد استفاده قرار می‌گیرد شناسایی شده است. افزونه یاد شده به مدیران سایت‌ها این توانایی را می‌دهد تا اطلاعات و جزییاتی در ارتباط با تعداد کاربران آنلاینی که روی سایت آن‌ها قرار دارند، تعداد بازدیدها، تعداد بازدیدکنندگان و همچنین اطلاعات آماری مرتبط با سایت خود را به دست آورند. گروه امنیتی Sucuri  که موفق شده است این آسیب‌پذیری را شناسایی کند در پستی نوشته است: «آسیب‌پذیری تزریق کد SQL یکی از باگ‌های مرتبط با برنامه‌های کاربردی تحت وب است که به هکرها اجازه می‌دهد محاوره‌های مخرب SQL را از طریق فیلدهای ورودی به سایت‌ها تزریق کرده، در ادامه مکان قرارگیری بانک‌های اطلاعاتی کلیدی را به دست آورده و در نهایت به سرقت اطلاعات بپردازند. آسیب‌پذیری فوق همچنین به یک هکر اجازه می‌دهد یک دسترسی از راه دور تایید نشده به سایت‌ها را به دست آورد.»

آسیب‌پذیری تزریق کد SQL در افزونه WP Statistics درون چند تابع معروف منجمله wp_statistics_searchengine_query قرار دارد. پژوهشگران این شرکت امنیتی اعلام داشته‌اند: «این آسیب‌پذیری به واسطه فقدان مقداردهی اولیه داده‌هایی به وجود می‌آید که از سوی کاربران وارد می‌شود. طیف گسترده‌ای از مقادیری که از سوی کاربران وارد می‌شود در قالب آرگومان‌های ورودی برای بسیاری از توابع این افزونه ارسال می‌شود. اگر پارامترهای ورودی مورد اعتبارسنجی قرار بگیرند در این حالت آرگومان‌های وارد شده مشکلی به وجود نخواهند آورد.» wp_statistics_searchengine_query یکی از این توابع آسیب‌پذیر است که درون فایل includes/functions/functions.php قرار دارد.

مطلب پیشنهادی

سیسکو و اپل با مشارکت یکدیگر بیمه سایبری ارائه می‌کنند
سرآغازی بر امن‌تر کردن ارتباطات کاربران

 این تابع امتیازات اضافی که به کاربر تخصیص داده می‌شود را مورد بررسی قرار نمی‌دهد. در نتیجه یک کاربر عادی این شانس را پیدا می‌کند تا محاوره‌هایی را به درون بانک اطلاعاتی وارد کرده و در ادامه کدهای مخرب خود را روی بانک ‌اطلاعاتی به مرحله اجرا در آورد. پژوهشگران Sucuri به‌طور محرمانه این نقص را به تیم توسعه‌دهنده افزونه WP Statistics گزارش داده‌اند و تیم مربوطه وصله مورد نظر را در قالب جدیدترین نسخه این افزونه یعنی نسخه 12.0.8 عرضه کرده است. اگر شما نیز یک نسخه آسیب‌پذیر از افزونه فوق را روی سایت خود نصب کرده‌اید و به کاربران اجازه ثبت نام داده‌اید، باید بدانید که در معرض خطر قرار دارید. در نتیجه به شما توصیه می‌شود در اولین فرصت ممکن افزونه خود را به‌روزرسانی کنید.

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟