خلل في العناصر الأولية تسمح لأي شخص من إختراق مواقع وورد بريس

خلل في العناصر الأولية تسمح لأي شخص من إختراق مواقع وورد بريس
خلل في العناصر الأولية تسمح لأي شخص من إختراق مواقع وورد بريس

يمكن اختراق موقعك الإلكتروني بسهولة إذا كنت تستخدم "Ultimate Addons for Beaver Builder" أو "Ultimate Addons for Elementor" ولم تقم بتحديثها مؤخرًا إلى أحدث الإصدارات المتاحة.

اكتشف الباحثون في مجال الأمن وجود مصادقة حرجة ولكن من السهل استغلالها لتجاوز الثغرة الأمنية في كل من مكونات WordPress الممتازة المستخدمة على نطاق واسع والتي قد تسمح للمهاجمين عن بعد بالوصول الإداري إلى المواقع دون الحاجة إلى أي كلمة مرور.

الأمر الأكثر إثارة للقلق هو أن المهاجمين الانتهازيين قد بدأوا بالفعل في استغلال هذه الثغرة الأمنية في غضون يومين من اكتشافه من أجل اختراق مواقع WordPress الضعيفة وتثبيت مستتر ضار للوصول إليها لاحقًا.

يعمل كل من المكونات الإضافية الضعيفة ، التي تصنعها شركة تطوير البرمجيات Brainstorm Force ، حاليًا على تشغيل مئات الآلاف من مواقع WordPress باستخدام أطر عمل Elementor و Beaver Builder ، مما يساعد مدراء مواقع الويب ومصمميها على توسيع وظائف مواقعهم على الويب باستخدام المزيد من الأدوات المصغرة والوحدات النمطية وقوالب الصفحات.

يكتشف الباحثون في خدمة أمان الويب MalCare ، تكمن مشكلة عدم الحصانة في الطريقة التي تسمح بها كل من الإضافات لأصحاب حسابات WordPress ، بما في ذلك المسؤولون ، بالمصادقة عبر آليات تسجيل الدخول إلى Facebook و Google.

وفقًا لاستشارة مشكلة عدم الحصانة ، نظرًا لعدم وجود عمليات تحقق في طريقة المصادقة عند تسجيل دخول المستخدم عبر Facebook أو Google ، يمكن خداع المكونات الإضافية الحساسة للسماح للمستخدمين الضارين بتسجيل الدخول كأي مستخدم آخر مستهدف دون الحاجة إلى أي كلمة مرور.

"ومع ذلك ، فإن أساليب مصادقة Facebook و Google لم تتحقق من الرمز المميز الذي تم إرجاعه بواسطة Facebook و Google ، وحيث أنها لا تتطلب كلمة مرور ، لم يكن هناك فحص لكلمة المرور" ، أوضح باحثو WebARX ، الذين قاموا أيضًا بتحليل الخلل وأكدوا فعاليته. استغلال.

"لاستغلال مشكلة عدم الحصانة ، يحتاج المتسلل إلى استخدام معرف البريد الإلكتروني لمستخدم مسؤول للموقع. في معظم الحالات ، يمكن استرداد هذه المعلومات بسهولة إلى حد ما" ، قال MalCare.

في رسالة بالبريد الإلكتروني إلى The Hacker News ، أكد WebARX أن المهاجمين يسيئون استخدام هذا الخلل لتثبيت مكوّن إضافي مزيف لإحصائيات SEO بعد تحميل ملف tmp.zip على خادم WordPress المستهدف ، والذي يسقط في النهاية ملف wp-xmlrpc.php backdoor إلى الجذر دليل الموقع الضعيف.

اكتشف MalCare مشكلة عدم الحصانة هذه يوم الأربعاء والتي تؤثر على الإصدارات المدرجة أدناه من الإضافات وأبلغت للمطورين في نفس اليوم ، الذي سرعان ما عالج المشكلة وأصدر إصدارات مصححة من الاثنين في غضون 7 ساعات فقط.

  • الإضافات النهائية للعنصر <= 1.20.0
  • الإضافات النهائية لـ Beaver Builder <= 1.24.0

تم تصحيح مشكلة عدم حصانة تجاوز المصادقة بإصدار "Ultimate Addons for Elementor version 1.20.1" و "Ultimate Addons for Beaver Builder الإصدار 1.24.1" ، الذي ينصح بشدة بتثبيت مواقع الويب المتأثرة بشدة في أقرب وقت ممكن.

هل لديك ما تقوله حول هذه المقالة؟ يمكنك التعليق أدناه أو مشاركتها معنا على Facebook أو Twitter.
عثمان بوزلماط
بواسطة : عثمان بوزلماط
عثمان بوزلماط مدون مغربي من مواليد 22 يوليو 1991 مؤسس ومدير مدونة علم الكل. حاصل على شهادة تقني في صيانة الشبكات وتقني متخصص في إدارة الشبكات والمعلوميات.



حجم الخط
+
16
-
تباعد السطور
+
2
-