وصله امنیتی افزونه ای که 100000 سایت را آلوده کرد
افزونه: Popup Builder
نوع آسیب پذیری: XSS
نسخه: 3.63 و قبل از آن
ID CVE (شناسه) : CVE-2020-10196
امتیاز CVSS: بالا (8.3)
CVSS بردار : CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L
در تاریخ 4 مارس 2020 ، بخش Threat Intelligence تیم وردفنس، چندین آسیب پذیری را در افزونه Popup Builder کشف کردند ، افزونه ای که در بیش از 100000 سایت نصب شده است. آسیب پذیری به مهاجم غیرمجاز اجازه می دهد تا JavaScript مخرب را به هر پاپ اپ تزریق کند ، که در صورت لود شدن ، هر بار اجرا می شود.
آسیب پذیری دیگر این افزونه به هر کاربر عضو حتی افرادی که دارای حداقل مجوز هستند(مشترک) ، اجازه صادر کردن لیستی از کلیه مشترکین خبرنامه ، اطلاعات پیکربندی سیستم و دسترسی به ویژگی های مختلف افزونه را می دهد.
اکیداً توصیه می شود که افزونه popup builder را به نسخه جدید 3.64.1 به روز رسانی کنید. افرادی که از وردفنس پرمیوم استفاده می کنند در 5 مارس 2020 برای محافظت در برابر سوء استفاده از این آسیب پذیری ها ، قانون فایروال جدید را دریافت کردند. کاربران رایگان Wordfence این قانون را بعد از سی روز ، در تاریخ 4 آوریل 2020 دریافت می کنند.
مقاله افزایش امنیت وردپرس را برای 20+ نکات برای پیشگیری از آسیب پذیری های افزونه ها مطالعه کنید.
درباره اسماعیل منصوری
از سال ۱۳۸۹ با طراحی سایت با زبانهای برنامه نویسی شروع کردم. خیلی زمانبر و دردسر داشت. اما الان طراحی سایت بدون کدنویسی را در زمانی کمتر و براحتی انجام میدم. دانلود رایگان ۲ فصل اول کتاب راز طراحی سایت بدون کدنویسی
نوشتههای بیشتر از اسماعیل منصوری
دیدگاهتان را بنویسید