آسیب پذیری پلاگین وردپرس HubSpot

افزونه وردپرس HubSpot، که توسط بیش از 200000 ناشر استفاده می شود، آسیب پذیری جعل درخواست سمت سرور را اصلاح کرد.
WPScan و پایگاه داده آسیب‌پذیری ملی دولت ایالات متحده اطلاعیه‌ای درباره یک آسیب‌پذیری کشف شده در افزونه HubSpot WordPress منتشر کردند. این آسیب پذیری کاربران افزونه را در معرض حمله جعل درخواست سمت سرور قرار می دهد.
محققان امنیتی WPScan گزارش زیر را منتشر کردند:
شرح
این افزونه URL پروکسی داده شده به نقطه پایانی پروکسی REST را تأیید نمی کند، که می تواند به کاربران با قابلیت edit_posts (به طور پیش فرض و بالاتر) اجازه انجام حملات SSRF را بدهد.
این آسیب‌پذیری مستلزم آن است که یک مشترک در سطح مشارکت‌کننده وارد سیستم شود تا این مواجهه اتفاق بیفتد.
پروژه غیرانتفاعی Open Web Application Security Project (OWASP)، یک سازمان جهانی که به امنیت نرم افزار اختصاص دارد، یک آسیب پذیری SSRF می تواند منجر به قرار گرفتن در معرض سرویس های داخلی شود که قرار نیست در معرض نمایش قرار گیرند.
طبق OWASP:
"در حمله جعل درخواست سمت سرور (SSRF)، مهاجم می تواند از عملکرد سرور برای خواندن یا به روز رسانی منابع داخلی سوء استفاده کند.
مهاجم می‌تواند URL را ارائه یا تغییر دهد که کدهای در حال اجرا روی سرور داده‌ها را می‌خواند یا به آن ارسال می‌کند، و با انتخاب دقیق URL‌ها، مهاجم ممکن است بتواند پیکربندی سرور مانند ابرداده AWS را بخواند، به سرویس‌های داخلی مانند http فعال شود وصل شود. پایگاه‌های داده یا انجام درخواست‌های پستی به سمت سرویس‌های داخلی که قرار نیست در معرض نمایش قرار گیرند.»
خدماتی که قرار نیست در معرض دید قرار گیرند عبارتند از:
افزونه HubSpot WordPress توسط بیش از 200000 ناشر استفاده می شود. قابلیت های مربوط به CRM، چت زنده، تجزیه و تحلیل و بازاریابی ایمیلی را ارائه می دهد.
آسیب پذیری کشف شده توسط WPScan اشاره می کند که در نسخه 8.8.15 رفع شده است.
با این حال، تغییرات ثبت شده که آنچه در نرم افزار به روز شده را مستند می کند، نشان می دهد که افزونه HubSpot WordPress به روز رسانی های بیشتری را برای رفع آسیب پذیری های دیگر دریافت کرده است.
در اینجا لیستی از به روز رسانی ها بر اساس تغییرات رسمی، به ترتیب شروع با قدیمی ترین به روز رسانی است:
در حالی که شرکت امنیتی WPScan و پایگاه داده ملی آسیب‌پذیری اعلام کرده‌اند که آسیب‌پذیری در نسخه 8.8.15 برطرف شده است، طبق تغییرات افزونه HubSpot، تا نسخه 8.9.20 اصلاحات امنیتی بیشتری وجود داشته است.
بنابراین عاقلانه است که افزونه HubSpot را حداقل به نسخه 8.9.20 به روز کنم، اگرچه آخرین نسخه مطلق افزونه HubSpot WordPress، تا زمان نگارش این مقاله، نسخه 8.11.0 است.
HubSpot < 8.8.15 – Contributor+ Blind SSRF
جزئیات CVE-2022-1239
تغییرات پلاگین وردپرس HubSpot
خبرنامه روزانه ما را از لورن بیکر بنیانگذار SEJ در مورد آخرین اخبار در صنعت دریافت کنید!
راجر مونتی یک بازاریاب جستجو با بیش از 20 سال تجربه است. ارائه ممیزی سایت، مشاوره تلفنی و محتوا و … [بیو کامل را بخوانید]
برای دریافت آخرین اخبار صنعت در خبرنامه روزانه ما مشترک شوید.
برای دریافت آخرین اخبار صنعت در خبرنامه روزانه ما مشترک شوید.

source
سئو سایت

About mohtavaclick

Check Also

Metaverse Primer برای بازاریابان: چگونه به اینجا رسیدیم و بعد به کجا رسیدیم

در همگرایی VR، AR، و ارز دیجیتال Metaverse قرار دارد. برندها مورد توجه هستند، زیرا …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

قالب وردپرس وردپرس متخصص وردپرس متخصص ووکامرس افزونه وردپرس کابین وردپرس