جستجو برای:
سبد خرید 0
  • دوره های شروع کسب و کار اینترنتی
  • دریافت کد تخفیف 20%
  • مقالات
  • خدمات
  • فروشگاه ساز
  • درباره ما
  • تماس با ما
  • ریپورتاژ

ورود

رمز عبور را فراموش کرده اید؟

هنوز عضو نشده اید؟ عضویت در سایت
  • دوره ها
  • مقالات
  • خدمات
  • فروشگاه ساز
0
کسب و کار اینترنتی با ایکارسو
  • خانه
  • مقالاتداغ
    • 20 ایده کسب و کار اینترنتی در سال 99: ایده کسب درامد از اینترنت همراه با مدل درآمدی
    • آموزش طراحی سایت با وردپرس 0تا100 +فیلم آموزشی
    • آموزش ساخت فروشگاه اینترنتی با وردپرس: کامل + فیلم | pdf + رایگان
    • افزایش امنیت وردپرس:+20ترفند بالا بردن امنیت وردپرس
  • پادکست کسب و کار اینترنتیجدید
  • دانلود رایگان
    • دانلود رایگان کتاب راه اندازی کسب و کار اینترنتی
    • دانلود رایگان جلسه اول فیلم آموزش طراحی سایت با وردپرس
    • دانلود رایگان ساخت فروشگاه اینترنتی
    • دانلود رایگان 2 جلسه اول آموزش افزایش امنیت وردپرس
  • محصولات
    • نحوه سفارش محصولات
      • روش های پرداخت
  • فروشگاه ساز
  • تماس با ما
    • مشاوره رایگان
    • ثبت پیشنهاد، شکایت
    • قوانین و مقررات
  • ریپورتاژ
  • درباره ما
آخرین اطلاعیه ها
جهت نمایش اطلاعیه باید وارد سایت شوید
شروع کنید

وبلاگ

کسب و کار اینترنتی با ایکارسو > مقالات > امنیت وردپرس > اخبار امنیتی وردپرس > مشکل امنیتی موجود در افزونه PageLayer که حدود 200هزار سایت وردپرسی را تهدید می کند

مشکل امنیتی موجود در افزونه PageLayer که حدود 200هزار سایت وردپرسی را تهدید می کند

آذر 23, 1399
ارسال شده توسط اسماعیل منصوری
اخبار امنیتی وردپرس

در تاریخ 4 نوامبر سال 2020 (14 آبان 99) ، تیم  Threat Intelligence وردفنس دو آسیب پذیری   Cross-Site Scripting (XSS) را در افزونه PageLayer ، یک افزونه وردپرس که در بیش از 200000 سایت نصب شده است ، پیدا کرد.

این آسیب پذیری ها می توانند منجر به این شود که یک نفوذگر Javascript مخرب را در مرورگر مدیرسایت اجراکند،و درنهایا باعث نفوذ به سایت وردپرسی آسیب پذیر شود. این تیم در تاریخ 6 نوامبر 2020 (2روز بعد) با توسعه دهنده افزونه ، Softaculous تماس گرفته و در آخر هفته پاسخی دریافت کردیم و افشای کامل را در 8 نوامبر 2020 (18 آبان 99) ارسال کردند. یک وصله امنیتی در روز بعد ، 9 نوامبر 2020 منتشر شد.

تمام سایت های دارای Wordfence ، از جمله افرادی که وردفنس پرمیوم را نصب کرده اند و همچنین آنهایی که هنوز نسخه رایگان را اجرا می کنند ، توسط  فایروال وردفنس در برابر این آسیب پذیری محافظت می شوند.

 

توضیحات آسیب پذیری: Multiple Reflected Cross-Site Scripting

افزونه: Page Builder: PageLayer – Drag and Drop website builder

نسخه: 1.3.4 و قبل از آن

شناسه CVE: در صف

امتیاز CVSS: متوسط (7)

CVSS Vector ی: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

نسخه کاملا وصله شده افزونه آسیب پذیر: 1.3.5

افزونه PageLayer شامل یک صفحه تنظیمات است که به طراحان سایت اجازه می دهد گزینه های قلم و رنگ پیش فرض را برای استفاده توسط سازنده صفحه انتخاب کنند. این گزینه ها را از طریق پارامترهای مختلف  POST_$ می پذیرد. به عنوان مثال می توان از body [font-size] یا h3 [font-size] برای تنظیم اندازه قلم برای برچسب های body یا h3 و از رنگ [background] برای تنظیم رنگ پس زمینه استفاده کرد.

عملکرد مورد استفاده برای اصلاح این تنظیمات ، pagelayer_website_settings ، شامل یک بررسی قابلیت و یک nonce است تا اطمینان حاصل شود که فقط درخواستهای معتبر و مجاز می توانند تغییراتی ایجاد کنند. درخواستی که بدون پارامتر ارسال ارسال نشده باشد ، این تغییرات را ذخیره نمی کند و درعوض به تابع pagelayer_website_settings_T که برای نمایش فرم ها در صفحه تنظیمات استفاده می شود ، ادامه می یابد.

متأسفانه ، این عملکرد همچنین دو عملکرد دیگر را که ورودی کاربر را برای نمایش تنظیمات پذیرفته اند فراخوانی می کند و این جایی است که یک مهاجم می تواند JavaScript مخربی را تزریق کند که می تواند منجر به تصاحب یک سایت وردپرس شود.

نتیجه گیری

در این مقاله ، ما در مورد دو آسیب پذیری XSS   در صفحه مدیریت پلاگین PageLayer بحث کردیم. این آسیب پذیری ها در نسخه 1.3.5 کاملاً وصله شده اند و ما اکیداً به همه کاربران توصیه می کنیم که  به آخرین نسخه  به روز رسانی کنند. همه کاربران وردفنس، از جمله سایتهایی که از Wordfence Premium استفاده می کنند و همچنین کسانی که هنوز از نسخه رایگان استفاده می کنند ، توسط محافظت داخلی XSS Wordfence Firewall محافظت می شوند.

درضمن می توانید مقاله آموزش افزایش امنیت وردپرس را مطالعه کنید.

درباره اسماعیل منصوری

از سال ۱۳۸۹ با طراحی سایت با زبانهای برنامه نویسی شروع کردم. خیلی زمانبر و دردسر داشت. اما الان طراحی سایت بدون کدنویسی را در زمانی کمتر و براحتی انجام میدم. دانلود رایگان ۲ فصل اول کتاب راز طراحی سایت بدون کدنویسی

نوشته‌های بیشتر از اسماعیل منصوری
بعدی PHP 8: آنچه کاربران وردپرس باید بدانند
قبلی آسیب پذیری بارگذاری پرونده با فرم تماس 7

دیدگاهتان را بنویسید لغو پاسخ

هاست وردپرس

کسب درآمد از اینترنت بدون سرمایه اولیه

فیلم آموزش طراحی سایت با وردپرس

محصول آموزشی کسب درآمد از سایت با تولیدمحتوا

شما هم دنبال کسب درآمد از اینترنت بدون سرمایه اولیه هستید، پس برای توضیحات بیشتر روی تصویر بالا کلیک کنید

محصول آموزشی طراحی سایت بدون کدنویسی

فیلم آموزش طراحی سایت با وردپرس

محصول آموزشی طراحی سایت بدون کدنویسی

اگر شما هم می خواهید بدون برنامه نویسی هر سایتی مثل همین سایت را راه اندازی کنید، روی عکس بالا کلیک کنید

آموزش طراحی سایت با وردپرس

فیلم آموزش طراحی سایت با وردپرس

دانلود رایگان آموزش طراحی سایت با وردپرس

جلسه اول طراحی سایت با وردپرس، شامل مفاهیم پایه و اساسی که هر فردی که می خواهد سایت طراحی کنید باید بداند

دانلود رایگان ساخت فروشگاه اینترنتی

ساخت فروشگاه اینترنتی

دانلود رایگان آموزش ساخت فروشگاه اینترنتی

دریافت رایگان جلسه 1 و 2 آموزش ساخت فروشگاه اینترنتی

آموزش امنیت وردپرس

آموزش امنیت وردپرس

دانلود رایگان آموزش امنیت وردپرس

قبل از اینکه مشکل امنیتی، باعث نفوذ به سایت، شود با روش های افزایش امنیت وردپرس آشناشوید.

دانلود رایگان کتاب راه اندازی کسب و کار اینترنتی

 دانلود رایگان کتاب راه اندازی کسب و کار اینترنتی

دانلود کتاب راه اندازی کسب و کار اینترنتی

راهنمای سریع راه اندازی کسب و کار اینترنتی

دسته‌ها
آخرین دیدگاه‌ها
  • اسماعیل منصوری در آموزش ساخت فروشگاه اینترنتی با وردپرس: کامل + فیلم | pdf + رایگان
  • هادی علم شاهی در آموزش ساخت فروشگاه اینترنتی با وردپرس: کامل + فیلم | pdf + رایگان
  • اسماعیل منصوری در آموزش Moz همراه با فیلم آموزش کار با سایت moz
  • ملیحه در آموزش Moz همراه با فیلم آموزش کار با سایت moz
  • علی در افزونه Woocommerce measurement price calculator
لوگوی اعتماد زرین پال
رسالت ما
باتوجه به نیاز به مهاجرت کسب و کار سنتی به کسب و کار اینترنتی، و کسب درامد از اینترنت سایت ایکارسو، از شروع کسب و کار اینترنتی همراه شماست.

برای راه اندازی سایت می توانید اموزش های مربوط طراحی سایت بدون کدنویسی که با استفاده از ورپرس است، استفاده کنید. (اموزش طراحی سایت با وردپرس)

برای درامد زایی یا هر هدفی که برای راه اندازی سایت داشته اید، می توایند از آموزش های بازاریابی اینترنتی مثل بازاریابی ایمیلی، سئو استفاده کنید.

تخفیف 20% تهیه محصولات

برای عضویت در خبرنامه  و دریافت کد تخفیف 20% اینجا کلیک کنید.

© 2020 ایکارسو. تمامی حقوق محفوظ است . توصیه ایکارسو هاست وردپرس وب‌رمز
اشتراک گذاری در شبکه های اجتماعی
ارسال به ایمیل
https://ikarsoo.com/?p=78410
مرورگر شما از HTML5 پشتیبانی نمی کند.