من فضلك تسجيل الدخول أو تسجيل لتفعل ذلك.

(رصيد الصورة: شترستوك / مونتايسلو)

شعبية البرنامج المساعد ووردبريس حذر الخبراء من أنه مع أكثر من 300000 عملية تثبيت تحمل اثنتين من نقاط الضعف عالية الخطورة التي يمكن أن تسمح للجهات الفاعلة في مجال التهديد بالسيطرة الكاملة على مواقع الويب.

اكتشف باحثو الأمن السيبراني من Wordfence الخلل في أوائل ديسمبر من العام الماضي، وأبلغوا المطورين عنه.

وفقًا للباحثين، يُطلق على المكون الإضافي الضعيف اسم POST SMTP، وهي أداة تساعد مشرفي المواقع على توصيل رسائل البريد الإلكتروني إلى زوارهم. كان يحمل عيبين رئيسيين – CVE-2023-6875، وCVE-2023-7027.

مئات الآلاف من الضحايا المحتملين

الأول عبارة عن ثغرة أمنية خطيرة لتجاوز التفويض تؤثر على جميع إصدارات البرنامج الإضافي حتى 2.8.7. ومن خلال استغلال الثغرة، يمكن لممثل التهديد إعادة تعيين مفاتيح واجهة برمجة التطبيقات وبالتالي الوصول إلى معلومات السجل الحساسة، مثل رسائل البريد الإلكتروني لإعادة تعيين كلمة المرور. ويمكنهم حتى إساءة استخدام الثغرة الأمنية لتثبيت أبواب خلفية، أو تعديل المكونات الإضافية والموضوعات، أو التلاعب بمحتوى الموقع، أو إعادة توجيه المستخدمين إلى مكان آخر (على سبيل المثال، إلى صفحة تصيد ضارة، أو إلى موقع مشوه بالإعلانات).

والأخيرة عبارة عن ثغرة أمنية في البرمجة النصية عبر المواقع (XSS)، وهي موجودة أيضًا في جميع الإصدارات حتى 2.8.7. ومن خلال إساءة استخدامه، يمكن للمتسللين إدخال نصوص برمجية عشوائية.

تم اكتشاف الخلل لأول مرة في أوائل ديسمبر، مع إتاحة التصحيح في 1 يناير 2024. ويجب على أولئك الذين يستخدمون أداة POST SMTP التأكد من وصول المكون الإضافي إلى الإصدار 2.8.8.

وفق BleepingComputer، هناك حوالي 150.000 موقع ويب يشغل إصدارات POST SMTP الأقدم من 2.8. ويستخدم الـ 150 ألفًا الآخرون إصدارًا أحدث، ولكنه لا يزال عرضة للخطر. منذ إصدار التصحيح، تم إجراء حوالي 100.000 عملية تنزيل جديدة.

POST SMTP عبارة عن مكون إضافي مجاني، حصل على تقييم 4.8/5 في مستودع المكونات الإضافية لـ WordPress.

بشكل عام، يعتبر WordPress بمثابة موقع البناء تعتبر آمنة. ومع ذلك، هناك عشرات الآلاف من المكونات الإضافية المجانية التي تحمل نقاط ضعف مختلفة. بعض المكونات الإضافية، على الرغم من شعبيتها لدى المستخدمين، لم تعد مدعومة من قبل مطوريها، مما يعرض المستخدمين لخطر كبير.

المزيد من TechRadar Pro

قم بالتسجيل في النشرة الإخبارية TechRadar Pro للحصول على أهم الأخبار والآراء والميزات والإرشادات التي يحتاجها عملك لتحقيق النجاح!

سياد صحفي مستقل متمرس يقيم في سراييفو، البوسنة والهرسك. يكتب عن تكنولوجيا المعلومات (السحابة، إنترنت الأشياء، 5G، VPN) والأمن السيبراني (برامج الفدية، وانتهاكات البيانات، والقوانين واللوائح). في حياته المهنية، التي امتدت لأكثر من عقد من الزمان، كتب للعديد من وسائل الإعلام، بما في ذلك قناة الجزيرة البلقان. وقد أجرى أيضًا عدة وحدات حول كتابة المحتوى لشركة Represent Communications.

اقرأ أكثر

41 0 يناير 12, 2024
حصلت AWS على مبلغ 894 مليون جنيه إسترليني من الإنفاق السحابي عبر ثلاثة عقود مع حكومة المملكة المتحدة في نفس اليوم
تخفيض وظائف جوجل: تسريح المئات من الأجهزة، وفرق المساعدة الصوتية

Reactions

0
0
0
0
0
0
بالفعل كان رد فعل لهذا المنصب.

ردود الفعل