يجب على مستخدمي WordPress الذين لديهم المكون الإضافي Advanced Custom Fields على موقع الويب الخاص بهم الترقية بعد اكتشاف ثغرة أمنية في التعليمات البرمجية التي يمكن أن تفتح المواقع وزوارها لهجمات البرمجة عبر المواقع (XSS).
أ تحذير من Patchstack حول الخلل المزعوم أن هناك أكثر من مليوني عملية تثبيت نشطة لإصدارات Advanced Custom Fields و Advanced Custom Fields Pro من الإضافات ، والتي تُستخدم لمنح مشغلي الموقع تحكمًا أكبر في محتواهم وبياناتهم.
الباحث في Patchstack رافع محمد مكشوفة الثغرة الأمنية في 2 مايو ، وأبلغت شركة Delicious Brains التابعة لـ Advanced Custom Fields ، والتي استحوذت على البرنامج العام الماضي من المطور Elliot Condon.
في 5 مايو ، بعد شهر من إصدار Delicious Brains لنسخة مصححة من الإضافات ، نشر Patchstack تفاصيل الخلل. يوصى بأن يقوم المستخدمون بتحديث المكون الإضافي الخاص بهم إلى الإصدار 6.1.6 على الأقل.
الخلل المتعقب CVE-2023-30777 وبفضل درجة CVSS البالغة 6.1 من أصل 10 في درجة الخطورة ، تترك المواقع عرضة لهجمات XSS المنعكسة ، والتي تتضمن قيام الأوغاد بحقن تعليمات برمجية ضارة في صفحات الويب. ثم “ينعكس” الرمز مرة أخرى ويتم تنفيذه في متصفح الزائر.
بشكل أساسي ، يسمح لشخص ما بتشغيل JavaScript في عرض شخص آخر للصفحة ، مما يسمح للمهاجم بالقيام بأشياء مثل سرقة المعلومات من الصفحة ، وتنفيذ الإجراءات كمستخدم ، وما إلى ذلك. هذه مشكلة كبيرة إذا كان الزائر مستخدمًا إداريًا مسجلاً الدخول ، حيث يمكن اختراق حسابه للسيطرة على موقع الويب.
“تسمح هذه الثغرة الأمنية لأي مستخدم غير مصادق عليه [to steal] معلومات حساسة ، في هذه الحالة ، لتصعيد الامتياز على موقع WordPress عن طريق خداع المستخدم ذي الامتياز لزيارة مسار URL المصمم “، كتب Patchstack في تقريره.
أضافت المجموعة أنه “يمكن تشغيل هذه الثغرة الأمنية عند التثبيت الافتراضي أو التكوين الافتراضي للمكوِّن الإضافي Advanced Custom Fields. كما يمكن تشغيل XSS فقط من المستخدمين الذين قاموا بتسجيل الدخول والذين لديهم حق الوصول إلى المكون الإضافي Advanced Custom Fields.”
- المواقع التي تعمل بنظام WordPress ذات الأبواب الخلفية بعد أن عانت FishPig من هجوم على سلسلة التوريد
- الآلاف من مواقع الويب تشغل مكونًا إضافيًا للعربات التي تجرها الدواب ووردبريس والذي يسمح بالاستيلاء الكامل
- تبين أن حوالي نصف مواقع الويب الشهيرة التي تم اختبارها معرضة للاختراق المسبق للحساب
- Infosec ليس عملك ولكن مسؤوليتك؟ كيف تكون أذكى من متوسط الدب
الخلل بسيط نسبيًا. إنه ينبع من معالج وظيفة “admin_body_class” ، والذي قال Patchstack أنه تم تكوينه ليكون معالجًا إضافيًا لخطاف WordPress ، المسمى أيضًا admin_body_class. يتحكم المعالج في التصميم والتخطيط لعلامة الجسم الرئيسية في منطقة الإدارة ويصفيهما.
لا يقوم معالج الوظيفة بتعقيم قيمة الخطاف بشكل صحيح ، مما يفتحه للمهاجم الذي يمكنه إضافة تعليمات برمجية ضارة ، بما في ذلك عمليات إعادة التوجيه والإعلانات وحمولات HTML الأخرى إلى موقع ويب ، والذي يتم تنفيذه بعد ذلك عندما يقوم شخص ما بزيارة الموقع موقع.
وفقًا لـ Patchstack ، كانت ثغرة XSS واحدة من أربع ثغرات تم العثور عليها في المكون الإضافي الشهير على مدار العامين الماضيين.
يظل WordPress ، الذي يحتفل بعيد ميلاده العشرين هذا الشهر ، أكثر أنظمة إدارة المحتوى شيوعًا في العالم ، مستخدمًا من قبل 43.2 في المائة من جميع المواقع وفقًا لـ W3Techs. نظرًا لمئات الملايين من المواقع التي تستخدمها ، فقد أصبح WordPress أيضًا ملف هدف شعبي من الأوغاد الذين يريدون استغلال أي عيوب في النظام – حيث يوجد المال.
وفقًا لـ Patchstack استطلاع، كانت هناك زيادة بنسبة 150 في المائة في عدد نقاط الضعف في WordPress المبلغ عنها بين عامي 2020 و 2021 ، و 29 في المائة من المكونات الإضافية ذات الثغرات الحرجة في ذلك الوقت ظلت غير مصححة.
بالإضافة إلى ذلك ، تتيح سهولة الاستخدام في WordPress لأي شخص من هواة التكنولوجيا إلى المحترفين إنشاء موقع ويب بسرعة ، مما يزيد من المخاطر الأمنية مع النظام الأساسي ، وفقًا لميليسا بيشوبينج ، مديرة أبحاث أمان نقطة النهاية في شركة الأمن السيبراني تانيوم.
قال Bischoping: “نظرًا لأن العديد من المكونات الإضافية المتاحة لمواقع WordPress تم تطويرها بواسطة المجتمع ، فقد لا يتم تدقيقها وصيانتها بانتظام”. السجل. “قد تحتوي المكونات الإضافية نفسها على ثغرات أمنية ومن السهل أيضًا تكوين الأذونات أو إعدادات المكونات الإضافية بشكل خاطئ ، مما يعرض فرصًا إضافية للاستغلال.”
وأضافت أنه “بالنسبة لبعض المكونات الإضافية الأكثر شيوعًا ، يمكن أن تكون موجودة فعليًا في ملايين المواقع الإلكترونية ، وهو ما يمثل فرصة كبيرة وجذابة لممثلي التهديد”.
قال كيسي إليس ، المؤسس والرئيس التنفيذي للتكنولوجيا في شركة Security Crewdsourcer Bugcrowd السجل يجب على أي شخص تم اختراق موقع WordPress الخاص به ترحيله إلى مضيف SaaS ، حيث يتم الاستعانة بمصادر خارجية لصيانة الأمان إلى جهة خارجية ويمكن وضع جدار حماية لتطبيق الويب أمام الموقع.
قال إليس: “الغالبية العظمى من المدونين وأصحاب الأعمال الصغيرة الذين يديرون مواقع WordPress … ليسوا خبراء في الأمن السيبراني”. “يحتاج WordPress بالتأكيد إلى التحديث على أساس ثابت ، خاصةً إذا كان لديك موقع ويب يحتوي على عدد من المكونات الإضافية ورمز تابع لجهة خارجية.” ®