وردپرس نسخه 4.7.3

نسخه جدید وردپرس شش حفره خطرناک را وصله کرد

19/12/1395 - 17:00
امنیت
نسخه جدید وردپرس شش حفره خطرناک را وصله کرد
توسعه‌دهندگان وردپرس دیروز چهارشنبه اعلام کردند نسخه 4.7.3 این پلتفرم محبوب را عرضه کرده‌اند. نسخه‌ای که به تازگی منتشر شده همراه با یک به‌روزرسانی امنیتی بوده که شش آسیب‌پذیری خطرناک را وصله کرده است.

جدیدترین نسخه عرضه شده از وردپرس سه آسیب‌پذیری مربوط به حملات XSS را ترمیم کرده است. این سه آسیب‌پذیری‌ از طریق متادیتا‌های درون فایل‌های چند رسانه‌ای، آدرس‌های اینترنتی متعلق به ویدیوها که به صورت جایگذاری شده در یوتیوب قرار می‌گیرند و نام‌هایی که برای طبقه‌بندی مورد استفاده قرار می‌گیرند قابل بهره برداری بود.

مطلب پیشنهادی

وردپرس چهار آسیب‌پذیری مهم را وصله کرد
ترمیم آسیب‌پذیری روز صفر

وردپرس چهار آسیب‌پذیری مهم را وصله کرد

همچنین یک آسیب‌پذیری مربوط به گمراه ساختن مکانیزم اعتبارسنجی آدرس‌های اینترنتی که به هکرها اجازه می‌داد بر کاراکترها کنترل داشته باشند ترمیم شد. باگ مهم دیگری که در این نسخه ترمیم شد باعث می‌شد تا مدیران سایت‌ها به طور ناخواسته در زمان حذف افزونه‌ها فایل‌هایی را نیز پاک کنند. همچنین آسیب‌پذیری دیگری در ارتباط با تابع Press This ترمیم شد. این آسیب‌پذیری باعث می‌شد تا به شکل بی رویه‌ای از منابع سرورها استفاده شود و به این شکل زمینه را برای یک حمله منع سرویس هموار می‌ساخت.

ملما کاستر پژوهشگر امنیتی نیز دو آسیب‌پذیری مربوط به حملات XSS را در ارتباط با قابلیت Playlist در وردپرس شناسایی کرد. برای بهره‌مندی از این آسیب‌پذیری هکر باید ویراستار یا مدیر یک سایت را متقاعد می‌ساخت تا یک فایل MP3 را بارگذاری کند. فایلی که حاوی متادیتا‌های جعلی و ناقص است. در ادامه کدهای مخربی که از سوی هکر نوشته شده بود اجرا می‌شد. این کدها زمانی که متادیتاهای درون فایل MP3  از طریق دو تابع renderTracks() یا wp_playlist_shortcode() پردازش می‌شدند اجرا می‌شدند.

مطلب پیشنهادی

۵ افزونه جادویی وردپرس برای افزایش تعداد مخاطبان سایت
بهبود ترافیک سایت

۵ افزونه جادویی وردپرس برای افزایش تعداد مخاطبان سایت

در جولای 2016 و در قالب پروژه summer of Pwnage بیش از 100 آسیب‌پذیری در هسته و افزونه‌های وردپرس شناسایی شدند. در تاریخ 1 مارس برابر با ده اسفندماه جزییات مربوط به این آسیب‌پذیری‌ها صرفنظر از این‌که ترمیم شده یا نشده‌اند به صورت عمومی منتشر شد. یکی از مهم‌ترین آسیب‌پذیری‌هایی که در سال 2016 در هسته وردپرس شناسایی شده و هنوز هم وصله نشده است، آسیب‌پذیری CSRF است. خوشبختانه جزییات مربوط به این آسیب‌پذیری به صورت عمومی منتشر نشده است اما کارشناسان امنیتی اعلام کرده‌اند به لحاظ مفهومی این آسیب‌پذیری به هکرها اجازه می‌دهد گواهی‌نامه‌های FTP و SSH را سرقت کنند.  هر چند امکان به‌کارگیری این آسیب‌پذیری محدود است اما تاثیرگذاری آن قابل توجه است.

در شرایطی که در نسخه جدید شش آسیب‌پذیری مهم ترمیم شده‌اند، با این وجود آسیب‌پذیری‌های خطرناک دیگری وجود دارند که توسعه‌دهندگان وردپرس هنوز آن‌ها را ترمیم نکرده‌اند، اما برای محافظت از کاربران خود جزییات مربوط به آن‌ها را منتشر نکرده‌اند. در زمان عرضه نسخه 4.7.2 در تاریخ 26 ژانویه برابر با 7 بهمن‌ماه توسعه‌دهندگان وردپرس اعلام کردند تنها سه آسیب‌پذیری مهم را ترمیم کرده‌اند اما درست یک هفته بعد مشخص شد که آن‌ها دو آسیب‌پذیری بسیار مهم ارتقا امتیاز و تزریق محتوا را نیز بی سر و صدا ترمیم کرده بودند. 

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

مطالب مرتبط

برچسب: 
امنیت - وردپرس - آسیب پذیری - XSS
به اشتراک گذاری مطلب: 
Telegram Twitter Print HTML

ایسوس

نظر شما چیست؟