کشف آسیب پذیری در پلاگین Databese Reset وردپرس

پلاگین Databese Reset وردپرس که برای بازنشانی دیتابیس به صورت کامل و یا بر اساس جداول خاص مورد استفاده قرار می گیرد آسیب پذیر بوده و امکان دسترسی هکرها و کنترل کل سایت توسط این پلاگین وجود دارد. بر طبق آمار مخزن وردپرس در حال حاضر این پلاگین در بیش از 80 هزار سایت فعال است. (لینک پلاگین در مخزن وردپرس)

چندی پیش تیم امنیتی “wordfence” اظهار داشته است که دو نوع آسیب پذیری به شدت خطرناک در این پلاگین وجود دارد و می توانند برای بازنشانی اجباری سایت و در دست گرفتن کامل آن توسط هکرها مورد استفاده قرار گیرند.

اولین مورد آسیب پذیری این پلاگین با شناسه CVE-2020-7048 بوده و به حدی خطرناک است که در CVSS (سیستم امتیازدهی آسیب پذیری عام) نمره 9.1 را دریافت کرده است به این دلیل که در این پلاگین هیچ یک از توابع بازنشانی دیتابیس ایمن نبوده و به سادگی توسط هر کاربری بدون نیاز به احراز هویت امکان بازنشانی پایگاه داده و پاکسازی تمامی پست ها، تصاویر، کاربران، نظرات و در کل تمامی محتوای موجود در سایت وجود دارد.

دومین آسیب پذیری با شناسه CVE-2020-7047 نیز نمره 8.1 را دریافت کرده است. به واسطه این آسیب پذیری، تمامی کاربران بدون در نظر گرفتن سطح دسترسی آن ها در سایت نه تنها توانایی حذف دیتابیس را داشته بلکه امکان حذف باقی کاربران را با یک درخواست ساده نیز دارند.

Chloe Chamberland (یکی از کارشناسان تیم امنیتی wordfence) در این باره می گوید:

هر زمانی که جدول WP-users بازنشانی شود در نتیجه آن به جز کاربری که وارد سایت شده است دسترسی باقی کاربران از جمله ادمین های سایت حذف می گردد. در این حالت، کاربری که در سایت حضور دارد و درخواست را ارسال کرده است به صورت اتوماتیک تبدیل به مدیر سایت می شود.

بنابراین هکر تنها با استفاده از این آسیب پذیری ها می تواند کنترل کامل سایت را در دست بگیرند.

در تاریخ 8 ژانویه 2019، تیم توسعه دهنده پلاگین Database Reset توسط تیم امنیتی از این آسیب پذیری ها آگاه شده و در تاریخ 14 ژانویه به صورت عمومی آسیب پذیری این پلاگین را اطلاع رسانی کردند.

چنانچه از این پلاگین استفاده می کنید، پیشنهاد می شود برای حفظ امنیت سایت خود به سرعت این پلاگین را به نسخه 3.15 ارتقا دهید. در حال حاضر تنها 5.2 درصد از کاربرانی که این پلاگین را استفاده می کنند در پی اعلام آسیب پذیری ها، آن را ارتقا داده اند.

منبع : zdnet

The following two tabs change content below.

• Bio
• Latest Posts

پوریا فرجی

Webmaster & Google Ads Expert at Bertina

Latest posts by پوریا فرجی (see all)

• آموزش فعال کردن Cron Jobs در سی پنل - ژوئن 8, 2020
• کشف آسیب پذیری در پلاگین Databese Reset وردپرس - ژانویه 20, 2020
• تگ تایتل یا تگ عنوان (Title Tag) و نقش آن در سئو - ژانویه 14, 2020
• ارائه لایحه جنجالی ممنوعیت استفاده از تلفن همراه برای نوجوانان آمریکایی - ژانویه 11, 2020
• ترفندهای سئو برای بالا بردن رتبه سایت در نتایج گوگل - دسامبر 29, 2019