مرکز ماهر هشدار داد که هکرها میتوانند گذر واژه کاربران سایتهایی را که با وردپرس نوشته شدهاند، تغییر دهند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای اعلام کرد: وردپرس محبوبترین سیستم مدیریت محتوا (CMS) در جهان با داشتن یک آسیبپذیری منطقی به هکر این امکان را میدهد که گذرواژه کاربر را تغییر دهد.
خطر این آسیبپذیری (CVE-۲۰۱۷-۸۲۹۵) زمانی مشخص میشود که بدانید همه نسخههای وردپرس حتی آخرین نسخه، یعنی نسخه ۴.۷.۴ هنوز این آسیبپذیری را دارند.
این آسیبپذیری سال گذشته توسط یک محقق لهستانی در زمینه امنیت به نامDavid Golunski کشف شد و همان زمان به تیم امنیت وردپرس گزارش شد، اما تیم امنیتی وردپرس تصمیم گرفتند آن را نادیده بگیرند و میلیونها وبسایت اینترنتی وردپرسی را آسیبپذیر نگه دارند.
زمانیکه یک کاربر با استفاده از گزینه بازیابی گذرواژه، درخواست بازیابی گذرواژه را صادر میکند، وردپرس یک کد محرمانه تولید و آن را برای آدرس ایمیل کاربر که در پایگاه داده ذخیره شده) ارسال میکند.
هنگام ارسال این ایمیل، وردپرس از یک متغیر به نام SERVER_NAME استفادهمیکند تا نام هاست را به دست آورده و در جایی دیگر مانند قست From ایمیل یا همان نام سایت مبدأ ارسالکننده ایمیل از آن استفادهکند. در این قسمت امکان دسترسی و تغییر گذرواژه وجود دارد.