آسیب پذیری بیش از 4 میلیون سایتی که از WPBakery استفاده می کردند

آبان 18, 1399
ارسال شده توسط
اخبار امنیتی وردپرس

در تاریخ 27 ژوئیه (5مرداد 99) ، تیم Threat Intelligence وردفنس یک آسیب پذیری را در افزونه WPBakery ، افزونه ای که در بیش از 4.3 میلیون سایت استفاده شده است، کشف کردند. این نقص به مهاجمان معتبر دارای نقش مشارکت کننده یا بالاتر امکان تزریق کد جاوا اسکریپت مخرب در پست ها را می داد.

تیم وردفنس در ابتدا از طریق انجمن پشتیبانی آنها در تاریخ 28 ژوئیه 2020 (6مرداد) با تیم توسعه افزونه تماس گرفته اند. پس از تأیید پشتیبانی مناسب ، وردفنس جزئیات کامل را در تاریخ 29 ژوئیه سال 2020 فاش کرد. آنها این آسیب پذیری را تأیید کردند و گزارش دادند که تیم توسعه دهنده آنها کار خود را برای رفع مشکل در 31 ژوئیه 2020 آغاز کرده اند. تیم توسعه دهنده افزونه بعد از دادن تعداد وصله های ناکافی ، وصله نهایی نهایی در 24 سپتامبر 2020 (3 مهر) منتشر شد.

ما به شدت توصیه می کنیم فوراً این افزونه را به آخرین نسخه ، نسخه 6.4.1 ، به روز کنید. در حالی که این کار را انجام می دهید ، همچنین اطمینان حاصل کنید که هیچ حساب کاربری یا نویسنده نامعتبر در سایت وردپرسی خود ندارید.

کاربران Wordfence Premium از 28 ژوئیه 2020 در برابر سو استفاده هایی که این آسیب پذیری ها را هدف قرار داده اند محافظت می شوند. کاربران رایگان Wordfence در 28 آگوست 2020 از همین محافظت برخوردار شدند.

توضیحات: افزونه متأثر از اسکریپت نویسی بین سایت ذخیره شده (XSS) معتبر

افزونه : افزونه WPBakery

نامک افزونه : js_composer

نسخه های تحت تأثیر: نسخه های کمتر از 6.4

شناسه CVE: در انتظار.

CVSS  امتیاز : 6.4 متوسط
CVSS بردار: CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
نسخه کاملاً امن شده: 6.4.1

 

صفحه ساز ویژوال کامپیوز محبوب ترین صفحه ساز وردپرس است. این ابزاری با کاربرد بسیار آسان است که به دارندگان سایت اجازه می دهد صفحات سفارشی را با استفاده از قابلیت کشیدن و رها کردن ایجاد کنند.

متأسفانه ، این افزونه با نقصی طراحی شده است که می تواند به کاربران با نقشهای مشارکت کننده و نویسنده امکان تزریق جاوااسکریپت مخرب به صفحات و پستها را بدهد. این نقص همچنین به این کاربران امکان ویرایش پست های سایر کاربران را می دهد. این پلاگین به صراحت هرگونه چک کردن پیش فرض فیلتر کردن HTML در saveAjaxFeعملکرد را با استفاده از kses_remove_filters غیر فعال می کند، این بدان معنی است که هر کاربری با دسترسی به WPBakery می تواند  HTML و JavaScript را در هر نقطه از پست تزریق کند.

 

اگر از نسخه رایگان وردفنس استفاده می کنید حتما از افزونه پرمیوم وردفنس استفاده کنید تا در این آسیب پذیرها سایت شما در امان باشد.

درضمن برای افزایش امنیت سایت خود راهکارهای افزایش امنیت وردپرس را مطالعه کنید.

 

درباره اسماعیل منصوری

از سال ۱۳۸۹ با طراحی سایت با زبانهای برنامه نویسی شروع کردم. خیلی زمانبر و دردسر داشت. اما الان طراحی سایت بدون کدنویسی را در زمانی کمتر و براحتی انجام میدم. دانلود رایگان ۲ فصل اول کتاب راز طراحی سایت بدون کدنویسی

دیدگاهتان را بنویسید