Lekolînwanên ewlehiyê yên Wordfence û WebARX di pênc pêvekan de ji bo pergala rêveberiya naveroka webê ya WordPress-ê, ku bi tevahî ji mîlyonek sazûmanan pêk tê, gelek qelsiyên xeternak nas kirine.
- di pêvekê de , ku zêdetirî 700 hezar sazî lê hene. Pirsgirêk Asta Zehmetiyê 9 ji 10 (CVSS) tête nirxandin. Qelsî dihêle ku bikarhênerek pejirandî ya xwedî mafên aboneyê ku rûpelek malperê jêbibe an veşêre (statûyê bi pêşnûmeya neçapkirî biguhezîne), û her weha naveroka xwe li ser rûpelan biguhezîne.
Qelsbûn di serbestberdana 1.8.3 de. - di pêvekê de , ku hejmara wan zêdetirî 200 hezar saziyan e (êrîşên rasteqîn li ser malperan hatin tomar kirin, piştî destpêkirina wan û xuyabûna daneyên derbarê lawaziyê de, hêjmara saziyan daketiye 100 hezarî). Qelsî dihêle ku mêvanek nerastkirî naveroka databasa malperê paqij bike û databasê vegerîne rewşek nû ya sazkirinê. Ger di databasê de bikarhênerek bi navê admin hebe, wê hingê qelsî di heman demê de dihêle hûn li ser malperê kontrola tam bistînin. Qelsî ji ber têkçûna rastkirina bikarhênerek ku hewl dide ku emrên îmtiyaz bi navgîniya /wp-admin/admin-ajax.php skrîpta derxîne ve çêdibe. Pirsgirêk di guhertoya 1.6.2 de tê çareser kirin.
- di pêvekê de , li ser 44 hezar malperan hatiye bikaranîn. Pirsgirêk ji 9.8 ji 10-an asta giraniyê tê destnîşan kirin. Zelalbûn dihêle bikarhênerek nerastkirî koda xwe ya PHP-ê li ser serverê bicîh bike û hesabê rêveberê malperê bi şandina daxwazek taybetî bi riya REST-API-ê veguhezîne şûna hesabê xwe.
Bûyerên îstismarkirina qelsiyê jixwe li ser torê hatine tomar kirin, lê nûvekirinek bi rastkirinê hîna ne berdest e. Ji bikarhêneran re tê şîret kirin ku bi zûtirîn dem vê pêvekê jêbirin. - di pêvekê de , hejmara saziyan 60 hezar e. Pirsgirêk ji 8.8'an 10 asta giraniyê hatiye destnîşankirin. Zehfbûn dihêle ku her mêvanek pejirandî, di nav de yên xwedî mafên abonetiyê, îmtiyazên xwe ji rêveberê malperê re zêde bikin an bigihîjin panela kontrolê ya wpCentral. Pirsgirêk di guhertoya 1.5.1 de tê çareser kirin.
- di pêvekê de , bi qasî 65 hezar sazî. Pirsgirêka asta 10 ji 10-an tê destnîşan kirin. Zehf dihêle ku bikarhênerek nerastkirî hesabek bi mafên rêveberiyê biafirîne (pêvek dihêle hûn formên qeydkirinê biafirînin û bikarhêner bi tenê dikare qadek zêde bi rola bikarhêner re derbas bike, destnîşan bike ew asta rêveberê). Pirsgirêk di guhertoya 3.1.1 de tê çareser kirin.
Digel vê yekê, ew dikare were destnîşan kirin torên ji bo belavkirina pêvekên Trojan û mijarên WordPress. Êrîşkaran kopiyên korsan ên pêvekên drav danî ser malperên pelrêça xeyalî, ku berê derîyek paşîn di nav wan de entegre kirin da ku bigihîjin dûr û fermanan ji servera kontrolê dakêşin. Piştî ku hate çalak kirin, koda xerab ji bo têxistina reklamên xirab an xapînok hate bikar anîn (mînak, hişyariyên li ser hewcedariya sazkirina antivirus an nûvekirina geroka xwe), û her weha ji bo xweşbîniya motora lêgerînê ji bo pêşvebirina malperên ku pêvekên xirab belav dikin. Li gorî daneyên destpêkê, zêdetirî 20 hezar malper bi karanîna van pêvekan hatine tawîz kirin. Di nav mexdûran de platformek madenê ya nenavendî, pargîdaniyek bazirganî, bankek, çend pargîdaniyên mezin, pêşdebirek çareseriyên dravdana bi karanîna qertên krediyê, pargîdaniyên IT û hwd.
Source: opennet.ru