أخر الاخبار

WordPress – ثغرة خطيرة تهدد ملايين المواقع

أفادت تقارير تقنية منشورة اليوم أن الملايين من مواقع WordPress تلقت تصحيحًا إجباريًا خلال الأيام القليلة الماضية.

السبب هو وجود ثغرة أمنية في اضافة UpdraftPlus ، وهو مكون إضافي شائع يسمح للمستخدمين بإنشاء واستعادة النسخ الاحتياطية لموقع الويب.


طلب مطورو UpdraftPlus التصحيح الإلزامي، لأن الثغرة الأمنية ستسمح لأي شخص لديه حساب بتنزيل قاعدة بيانات موقع الويب بالكامل.

تم اكتشاف الخطأ بواسطة باحث أمنى ​​في Jetpack أثناء تدقيق أمان المكون الإضافي. قال لـموقع Ars Technica: “من السهل جدًا استغلال هذا الخطأ، مع بعض النتائج السيئة للغاية إذا تم استغلاله”. “لقد أتاح للمستخدمين ذوي الامتيازات المنخفضة تنزيل النسخ الاحتياطية للموقع، والتي تتضمن نسخًا احتياطية أولية من قاعدة البيانات.”

أخبر مطوري UpdraftPlus عن الخطأ يوم الثلاثاء من الأسبوع الماضي، وقاموا بإصلاحه بعد يوم واحد وبدأوا في فرض تثبيت التصحيح بعد ذلك بوقت قصير. وقد استلمها 1.7 مليون موقع حتى يوم الخميس، من بين أكثر من 3 ملايين مستخدم.

كان العيب الرئيسي هو أن UpdraftPlus لم ينفذ بشكل صحيح وظيفة “hearbeat” في WordPress عن طريق التحقق بشكل صحيح لمعرفة ما إذا كان لدى المستخدمين امتيازات إدارية.

هناك مشكلة أخرى وهي متغير يستخدم للتحقق من صحة المسؤولين الذين يمكن تعديلهم بواسطة مستخدمين غير موثوق بهم. قدم Jetpack مزيدًا من التفاصيل حول كيفية يمكن أن يعمل الاختراق في منشور مدونة.
تعليقات



حجم الخط
+
16
-
تباعد السطور
+
2
-