آسیب پذیری وردپرس در افزونه های ضروری برای Elementor

بیش از 1 میلیون سایت وردپرس تحت تأثیر آسیب پذیری هایی قرار گرفته اند که می تواند منجر به حملات اجرای کد از راه دور شود.
افزونه Essential Addons for Elementor WordPress، با بیش از یک میلیون کاربر اخیراً چندین آسیب پذیری را اصلاح کرده است که می تواند به مهاجمان مخرب اجازه دهد تا کد دلخواه را در یک وب سایت وردپرس هدفمند اجرا کنند.
طبق وب‌سایت NIST دولت ایالات متحده، آسیب‌پذیری‌های موجود در افزونه Essential Addons for Elementor به مهاجم این امکان را می‌دهد تا یک حمله Local File Inclusion را راه‌اندازی کند، که سوءاستفاده‌ای است که به مهاجم اجازه می‌دهد تا نصب وردپرس را وادار کند تا اطلاعات حساس را فاش کند و خودسرانه بخواند. فایل ها.
از آنجا حمله می تواند منجر به حمله جدی تری به نام اجرای کد از راه دور (RCE) شود. اجرای کد از راه دور یک شکل بسیار جدی از حمله است که در آن یک هکر می تواند کد دلخواه را روی یک سایت وردپرس اجرا کند و آسیب های زیادی از جمله تصاحب کامل سایت را ایجاد کند.
به عنوان مثال، یک حمله Local File Inclusion را می توان با تغییر پارامترهای URL به چیزی که می تواند اطلاعات حساس را آشکار کند، انجام داد.
این امکان پذیر شد زیرا افزونه Essential Addons for Elementor وردپرس به درستی داده ها را تأیید و پاکسازی نکرد.
پاکسازی داده ها فرآیندی برای محدود کردن نوع اطلاعاتی است که امکان ورودی وجود دارد. به زبان ساده، پاکسازی داده ها را می توان به عنوان قفلی در نظر گرفت که تنها یک ورودی خاص، کلیدی با الگوی خاص را امکان پذیر می کند. عدم انجام پاکسازی داده ها می تواند مشابه قفلی باشد که به هر کلیدی اجازه می دهد آن را باز کند.
بر اساس پایگاه داده آسیب پذیری ملی دولت ایالات متحده:
افزونه Essential Addons for Elementor WordPress قبل از نسخه 5.0.5 برخی از داده‌های قالب را قبل از اینکه در عبارات گنجانده شده باشد، اعتبارسنجی و پاکسازی نمی‌کند، که می‌تواند به مهاجمان تایید نشده اجازه دهد تا حمله Local File Inclusion را انجام دهند و فایل‌های دلخواه را روی سرور بخوانند، این همچنین می‌تواند منجر شود. به RCE از طریق فایل‌های آپلود شده توسط کاربر یا سایر تکنیک‌های LFI در RCE."
سایت امنیتی WPScan که اولین کسانی بود که این آسیب‌پذیری را کشف و گزارش کردند، توضیحات زیر را منتشر کرد:
«این افزونه برخی از داده‌های الگو را قبل از اینکه در عبارات شامل آن‌ها قرار دهد، تأیید و پاکسازی نمی‌کند، که می‌تواند به مهاجمان تأیید نشده اجازه دهد تا حمله Local File Inclusion را انجام دهند و فایل‌های دلخواه را روی سرور بخوانند، همچنین می‌تواند منجر به RCE از طریق فایل‌های آپلود شده توسط کاربر یا سایر LFI شود. به تکنیک های RCE.
این آسیب پذیری در سایت پایگاه ملی آسیب پذیری در تاریخ 1 فوریه 2022 اعلام شد.
اما طبق تغییرات Essential Addons Lite، افزونه Essential Addons for Elementor نسخه Lite از اواخر ژانویه آسیب‌پذیری‌ها را اصلاح می‌کند.
Changelog یک گزارش نرم افزاری از تمام تغییرات ایجاد شده برای هر نسخه ای است که به روز می شود. این رکورد همه چیزهایی است که تغییر کرده است.
عجیب است که تغییرات برای نسخه Pro فقط به «چند رفع اشکال و بهبودهای جزئی» اشاره می‌کند، اما هیچ اشاره‌ای به رفع‌های امنیتی ندارد.
Changelog for Essential Addons for Elementor Plugin
چرا اطلاعات رفع امنیتی در نسخه Pro افزونه وردپرس وجود ندارد؟
تغییرات برای نسخه Lite که نسخه‌های 5.0.3 تا 5.0.5 را پوشش می‌دهد از 25 تا 28 ژانویه 2022 به‌روزرسانی شد تا مشکلات زیر برطرف شود:
تغییرات یادداشت می کند که امروز در 2 فوریه 2022 بهبود امنیتی زیر برای نسخه 5.0.6 انجام شد:
پایگاه داده آسیب پذیری دولت ایالات متحده امتیازی برای شدت تعیین نکرده است، بنابراین در حال حاضر مشخص نیست که این آسیب پذیری چقدر بد است.
با این حال، آسیب‌پذیری اجرای کد از راه دور بسیار نگران‌کننده است، بنابراین احتمالاً ایده خوبی است که به آخرین نسخه افزونه Essential Addons به‌روزرسانی شود.
وب سایت WPScan بیان می کند که آسیب پذیری ها در افزونه Essential Addons for Elementor نسخه 5.0.5 رفع شده است.
با این حال، لاگ تغییرات افزونه برای نسخه Lite این افزونه بیان می‌کند که نسخه 5.0.6 امروز، در 22 فوریه 2022، مشکل پاکسازی داده‌های اضافی را برطرف می‌کند.
بنابراین ممکن است عاقلانه باشد که حداقل به نسخه 5.0.6 به روز رسانی شود.
افزونه های ضروری برای Elementor < 5.0.5 – LFI تایید نشده
جزئیات CVE-2022-0320
افزونه های ضروری برای تغییرات پلاگین Elementor Lite
افزونه‌های ضروری برای Elementor Pro Changelog
خبرنامه روزانه ما را از لورن بیکر بنیانگذار SEJ در مورد آخرین اخبار در صنعت دریافت کنید!
راجر مونتی یک بازاریاب جستجو با بیش از 20 سال تجربه است. ارائه ممیزی سایت، مشاوره تلفنی و محتوا و … [بیو کامل را بخوانید]
برای دریافت آخرین اخبار صنعت در خبرنامه روزانه ما مشترک شوید.
برای دریافت آخرین اخبار صنعت در خبرنامه روزانه ما مشترک شوید.

source
سئو سایت

About mohtavaclick

Check Also

Metaverse Primer برای بازاریابان: چگونه به اینجا رسیدیم و بعد به کجا رسیدیم

در همگرایی VR، AR، و ارز دیجیتال Metaverse قرار دارد. برندها مورد توجه هستند، زیرا …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

قالب وردپرس وردپرس متخصص وردپرس متخصص ووکامرس افزونه وردپرس کابین وردپرس