ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > ከአንድ ሚሊዮን በላይ ጭነቶች ያሉት በዎርድፕረስ ፕለጊኖች ውስጥ ያሉ ተጋላጭነቶች

ከአንድ ሚሊዮን በላይ ጭነቶች ያሉት በዎርድፕረስ ፕለጊኖች ውስጥ ያሉ ተጋላጭነቶች

የWordfence እና WebARX የደህንነት ተመራማሪዎች ለ WordPress ድር ይዘት አስተዳደር ስርዓት በአምስት ፕለጊኖች ውስጥ በርካታ አደገኛ ተጋላጭነቶችን ለይተው አውቀዋል፣ በአጠቃላይ ከአንድ ሚሊዮን በላይ ጭነቶች።

  • ተጋላጭነት በፕለጊን ውስጥ የ GDPR ኩኪ ስምምነትከ 700 ሺህ በላይ ተከላዎች ያሉት. ጉዳዩ የክብደት ደረጃ 9 ከ10 (CVSS) ደረጃ ተሰጥቶታል። ተጋላጭነቱ የተረጋገጠ የደንበኝነት ተመዝጋቢ መብቶች ያለው ተጠቃሚ የገጹን ማንኛውንም ገጽ እንዲሰርዝ ወይም እንዲደብቅ (ሁኔታውን ወደ ያልታተመ ረቂቅ እንዲለውጥ) እንዲሁም የራሳቸውን ይዘት በገጾቹ ላይ እንዲተኩ ያስችላቸዋል።
    ተጋላጭነት ተወግዷል በተለቀቀው 1.8.3.

  • ተጋላጭነት በፕለጊን ውስጥ ThemeGrill ማሳያ አስመጪ, ከ 200 ሺህ በላይ ጭነቶች (በጣቢያዎች ላይ እውነተኛ ጥቃቶች ተመዝግበዋል, ከጅምሩ እና ስለ ተጋላጭነት መረጃ ከታየ በኋላ, የመጫኛዎች ቁጥር ወደ 100 ሺህ ቀንሷል). ተጋላጭነቱ ያልተረጋገጠ ጎብኝ የገጹን የውሂብ ጎታ ይዘቶች እንዲያጸዳ እና የውሂብ ጎታውን ወደ አዲስ የመጫኛ ሁኔታ እንዲያስጀምር ያስችለዋል። በመረጃ ቋቱ ውስጥ አስተዳዳሪ የሚባል ተጠቃሚ ካለ፣ ተጋላጭነቱ እንዲሁ በጣቢያው ላይ ሙሉ ቁጥጥር እንዲኖርዎት ይፈቅድልዎታል። ተጋላጭነቱ የተፈጠረው ተጠቃሚው ልዩ የሆኑ ትዕዛዞችን በ /wp-admin/admin-ajax.php ስክሪፕት ለማቅረብ በሚሞክርበት ጊዜ ማረጋገጥ ባለመቻሉ ነው። ችግሩ በስሪት 1.6.2 ውስጥ ተስተካክሏል.
  • ተጋላጭነት በፕለጊን ውስጥ ThemeREX Addons, በ 44 ሺህ ጣቢያዎች ላይ ጥቅም ላይ ይውላል. ጉዳዩ ከ9.8 10 የክብደት ደረጃ ተመድቧል። ተጋላጭነቱ ያልተረጋገጠ ተጠቃሚ በአገልጋዩ ላይ ፒኤችፒ ኮድ እንዲያስፈጽም እና የጣቢያ አስተዳዳሪ መለያውን በREST-API በኩል በመላክ እንዲተካ ያስችለዋል።
    የተጋላጭነት ብዝበዛ ጉዳዮች ቀድሞውኑ በአውታረ መረቡ ላይ ተመዝግበዋል ፣ ግን ከማስተካከያ ጋር ዝመና ገና አልተገኘም። ተጠቃሚዎች ይህን ፕለጊን በተቻለ ፍጥነት እንዲያስወግዱ ይመከራሉ።

  • ተጋላጭነት በፕለጊን ውስጥ wpማዕከላዊ, ቁጥር 60 ሺህ ጭነቶች. ጉዳዩ ከ8.8 ውስጥ 10 የክብደት ደረጃ ተመድቧል። ተጋላጭነቱ ማንኛውም የተረጋገጠ ጎብኝ፣ የተመዝጋቢ መብት ያላቸውን ጨምሮ፣ የጣቢያ አስተዳዳሪ መብታቸውን እንዲያሳድጉ ወይም ወደ wpCentral የቁጥጥር ፓነል እንዲደርሱ ያስችላቸዋል። ችግሩ በስሪት 1.5.1 ውስጥ ተስተካክሏል.
  • ተጋላጭነት በፕለጊን ውስጥ መገለጫ ገንቢ, ወደ 65 ሺህ የሚጠጉ ጭነቶች. ጉዳዩ ከ 10 ውስጥ 10 የክብደት ደረጃ ተመድቧል ። ተጋላጭነቱ ያልተረጋገጠ ተጠቃሚ ከአስተዳዳሪ መብቶች ጋር መለያ እንዲፈጥር ያስችለዋል (ተሰኪው የመመዝገቢያ ቅጾችን እንዲፈጥሩ እና ተጠቃሚው በቀላሉ በተጠቃሚው ሚና ተጨማሪ መስክ ማለፍ ይችላል) የአስተዳዳሪ ደረጃ ነው)። ችግሩ በስሪት 3.1.1 ውስጥ ተስተካክሏል.

በተጨማሪም, ሊታወቅ ይችላል መለየት የትሮጃን ተሰኪዎችን እና የዎርድፕረስ ገጽታዎችን ለማሰራጨት አውታረ መረቦች። አጥቂዎቹ የተዘረፉ የተከፈሉ ተሰኪዎችን ቅጂዎች በልብ ወለድ ማውጫ ድረ-ገጾች ላይ አስቀምጠዋል፣ ከዚህ ቀደም የርቀት መዳረሻ ለማግኘት እና ከመቆጣጠሪያ አገልጋዩ ትዕዛዞችን ለማውረድ የጓሮ በርን በውስጣቸው በማዋሃድ። አንዴ ከነቃ ተንኮል-አዘል ኮድ ተንኮል-አዘል ወይም አታላይ ማስታወቂያ ለማስገባት (ለምሳሌ ጸረ-ቫይረስ መጫን ወይም አሳሽዎን ማዘመን እንደሚያስፈልግ ማስጠንቀቂያ) እንዲሁም ተንኮል-አዘል ፕለጊኖችን የሚያሰራጩ ጣቢያዎችን ለማስተዋወቅ የፍለጋ ሞተር ማሻሻያ ስራ ላይ ውሏል። በቅድመ መረጃ መሰረት፣ እነዚህን ፕለጊኖች በመጠቀም ከ20 ሺህ በላይ ጣቢያዎች ለችግር ተዳርገዋል። ከተጎጂዎቹ መካከል ያልተማከለ የማዕድን መድረክ፣ የንግድ ድርጅት፣ ባንክ፣ በርካታ ትላልቅ ኩባንያዎች፣ ክሬዲት ካርዶችን በመጠቀም ክፍያ የመፍትሄ ሃሳቦችን አዘጋጅቷል፣ የአይቲ ኩባንያዎች ወዘተ.

ምንጭ: opennet.ru

አስተያየት ያክሉ