جمعه ۱۰ فروردين ۱۴۰۳ , 29 Mar 2024
جالب است ۰
وجود نقص در افزونه ساخت فروشگاه WooCommerce، امکان نفوذ کامل به سایت‌های وردپرسی را به هکرها می‌دهد.
منبع : مرکز مدیریت راهبردی افتا
وجود نقص در  افزونه ساخت فروشگاه WooCommerce، امکان نفوذ کامل به سایت‌های وردپرسی را به هکرها می‌دهد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به‌تازگی یک نقص طراحی در سیستم دسترسی وردپرس که افزونه‌ها از آن استفاده می‌کنند و یک آسیب‌پذیری حذف فایل در افزونه محبوب WooCommerce کشف شده‌است که به مهاجمان اجازه می‌دهد تا کنترل یک سایت وردپرسی را به‌دست گیرند.

زمانی که یک افزونه در وردپرس نصب می‌شود، سیستم احراز هویت جداگانه برای خود ایجاد نمی‌کند و از سیستم دسترسی وردپرس بهره می‌برد. افزونه‌ها در پایگاه‌ داده برای خود نقش‌هایی را ایجاد می‌کنند تا از قابلیت‌های وردپرس استفاده کنند.

طبق پژوهشی که توسط یک پژوهشگر امنیتی PHP انجام شده‌است، افزونه ساخت فروشگاه WooCommerce، نقشی با نام edit_users ایجاد می‌کند که از این طریق می‌تواند هر کاربر وردپرس را ازجمله کاربر مدیر سایت، ویرایش کند.

علاوه‌بر این، یک آسیب‌پذیری حذف فایل نیز در نسخه‌های ۳,۴.۵ و قبل‌تر WooCommerce کشف شده‌است که یک کاربر با نقش مدیر فروشگاه می‌تواند از پوشه مورد انتظار با افزودن دو نقطه (..) به آرگومان ارسال شده، خارج شود.

لازم به ذکر است که برای بهره‌برداری موفق از این آسیب‌پذیری، مهاجم باید به یک حساب کاربری که در نقش مدیر فروشگاه است، دسترسی داشته باشد. این دسترسی با حملات فیشینگ یا XSS قابل دست‌یابی است.

این آسیب‌پذیری در نسخه ۳,۴.۶ افزونه WooCommerce اصلاح شده‌است، لذا در صورت استفاده از این افزونه،  به‌روزرسانی آن توصیه می‌شود.
کد مطلب : 14722
https://aftana.ir/vdcf0edy.w6dj0agiiw.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی