صدمهپذیری جدی در WPForms خطر برای میلیونها وبسایت_سیاه پوش
نوشته و ویرایش شده توسط مجله سیاه پوش
WPForms یک پلاگین محبوب وردپرس برای فرمهای تماس، بازخورد و پرداخت، دارای یک صدمهپذیری می بود که میتوانست تبدیل اختلال در خدمات کسبوکارها، افت مطمعن مشتریان و حتی از دست دادن پول بشود، همانطور که کارشناسان آشکار کردهاند.
به نقل از سرویس هک و امنیت رسانه اخبار تکنولوژی تکنا، یک محقق امنیتی اخیراً به Wordfence او گفت که یک صدمهپذیری را در نسخههای ۱.۸.۴ تا ۱.۹.۲ WPForms، هم نسخههای رایگان و هم پولی، اشکار کرده است. این اشکال به کاربران با حسابهای سطح پایین اجازه میدهد تا استردادهای دلخواه Stripe را صادر کنند یا اشتراکهای گوناگون را لغو کنند.
اکنون این صدمهپذیری به گفتن CVE-2024-11205 ردیابی میبشود و امتیاز شدت ۸.۵ (بالا) به آن تعلق داده شده است. این امتیاز امکان پذیر حتی بالاتر میمی بود اگر پیش نیاز عضویت در سایت نبوده است. با این حال، از آنجایی که اکثر سایتها این روزها اجازه ثبت نام حساب کاربری را خواهند داد، منفعتبرداری از این نقص میتواند زیاد آسان باشد و در تعداد بسیاری از سایتها در سراسر اینترنت در دسترس باشد.
Wordfence سپس این نقص را به تنهایی تجزیه و تحلیل کرد و بعد از قبول یافتهها، با گسترشدهنده WPForms، Awesome Motive، تماس گرفت که در ۱۸ نوامبر وصلهای را اراعه کرد. اولین نسخه اصلاحشده WPForms نسخه ۱.۹.۲.۲ است و به کاربران اکیداً پیشنهاد میبشود که بدون تأخیر وصله را نصب کنند یا تا وقتی که این کار را انجام بدهند، پلاگین را غیرفعال کنند.
WPForms در بیشتر از شش میلیون وبسایت در سراسر اینترنت نصب شده است و تقریباً نیمی از آنها اکنون از نسخه قدیمی و صدمهپذیر منفعت گیری میکنند. محققان تا این مدت شواهدی از سوءاستفاده در دنیای واقعی اشکار نکردهاند، اما با دقت به محبوبیت این پلاگین، تنها زمان اشکار میکند که این اتفاق رخ میدهد.
وردپرس محبوبترین پلتفرم سازنده وب سایت در جهان است. این پلتفرم تقریباً نیمی از سایتهای اینترنتی جهان را تامین میکند و به همین علت مقصد مهم مجرمان سایبری است. با این حال، خود پلتفرم ایمن در نظر گرفته میبشود و تهدیدات عمدتاً فهمید پلاگینها و افزونههای دیگر (همانند قالبها) برای صدمهپذیریها و نقاط دسترسی می باشند.
پلاگینهای پولی طبق معمولً ایمنتر در نظر گرفته خواهد شد، چون یک تیم اختصاصی دارند که کد را نگهداری میکند. پلاگینهای رایگان، به اختصاصی آنهایی که توسط یک علاقهمند واحد اجرا خواهد شد یا تعداد کاربران کمتری دارند، طبق معمولً مستعد حملات بیشتری می باشند.
دسته بندی مطالب