آسیبپذیریهای وردپرس همانند آهنربایی، مهاجمانی که با کیتهای سوءاستفاده کارمیکنند را جذبکرده و در ماه فوریه باعث حملات باجافزاری شدهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، وردپرس امسال سه بهروزرسانی امنیتی منتشر کردهاست که آخرین آنها برای سامانه مدیریت محتوا بود که جمعه گذشته منتشر شد و وردپرس فعلی را به نسخه ۴.۵.۲ ارتقا داد. وردپرس همچنین در آوریل رمزنگاری رایگان برای دامنههایی قرار داد که بر روی زیرساخت میزبانی میشوند.
آخرین بهروزرسانی یک بهروزرسانی امنیتی است که تمامی نسخهها ازجمله نسخه ۴.۵.۱ را تحتتأثیر قرار میدهد. در توصیهنامهای که اواخر هفته گذشته منتشر شد، وردپرس گفت که کتابخانه بارگیریشده پرونده شخص ثالث Plupload به دام آسیبپذیری SOME افتادهاست. این حفرههای SOME خطای JSON از یک منبع ناشی میشوند و مشکلاتی همانند حملات اسکریپت میان وبگاهی پدید میآورند. محقق بن هایاک دو سال پیش در BlackHat Europe روی حفرههای SOME کار میکرد و برخی از جزئیات فنی آن را در وبلاگی منتشر کرد.
بهروزرسانی وردپرس یک آسیبپذیری اسکریپت میان وبگاهی را نیز در Media Element.js وصلهکرد. وردپرس گفت Media Element.js یک کتابخانه شخص ثالث برای اجراکنندگان رسانههاست و این آسیبپذیری نیز تنها روی نسخههای ۴.۲ تا ۴.۵ تأثیر میگذارد.
وردپرس گفت که این بهروزرسانی هم از طریق بارگیری و هم از طریق داشبورد مدیر قابل دسترسی است. وردپرس همچنین اطلاعیهای در مورد آسیبپذیری IMageMagic که بهتازگی کشف شدهاست منتشر کرده و به وبگاههای وردپرس که خود میزبان هستند توصیه کرد سریعاً آن را وصله کنند. این حفرهها میتوانند مورد حمله واقع شده و در بعضی موارد منجر به اجرای کد از راه دور شوند.
IMageMagic برنامه متنباز برای پردازش تصویر است که توسط تعدادی از افزونههای PHP ،Ruby و node JS استفاده میشود. توصیه کرد که کد زیر را به .xml file این برنامه افزوده شود:
IMageMagic گفت: «با اصولی کردن پارامترهای HTTP و جلوگیری از خواندن غیرمستقیم، این رمزنگارها را در نسخههای ۶.۰.۱-۱ و ۶.۹.۳-۱۰ ( که از اواخر این هفته در دسترس است) امن و بیخطر کردیم. اگر شما به رمزنگارهای MVG، HTTP یا MSL نیاز دارید، روش بالا برای جلوگیری از سوءاستفادههای احتمالی کارآمد است.»
خود وردپرس آلوده نشده است اما تصاویر بارگذاری شده ممکن است حاوی کد مخربی باشد که بتواند از حفرههای کتابخانه سوءاستفاده کند. تنها کاربرانی که قابلیت بارگذاری پرونده دارند، اجازه دارند که پروندهها را بارگذاری کنند و البته تنها نویسندگان، ویرایشگران و مدیران به صورت پیشفرض این قابلیت را دارند و شرکت کنندگان، مشترکین و کاربران ناشناس نمیتوانند از آن استفاده کنند.
وردپرس گفت: «این آسیبپذیری در افزونه Imagick PHP است و نه در خود وردپرس (یا هر کتابخانه دیگری که مربوط به وردپرس است). بهعلت استفاده گسترده از IMageMagic در وردپرس، تیم امنیتی وردپرس در حال کشف راهی برای برطرف کردن آن هستند، اگرچه این آسیبپذیری در سطح میزبان به بهترین شکل کنترل میشود».