کشف چندین آسیب‌پذیری در افزونه‌های مربوط به woocommerce در وردپرس

پژوهشگران امنیتی ThreatPress آسیب‌پذیری‌هایی را در ده افزونه مختلف وردپرس کشف کرده‌اند که توسط یک شرکت برای وب‌سایت‌های فروشگاهی تحت پلتفرم woocommerce ساخته شده‌اند. این شرکت که Multidots نام دارد، افزونه‌هایی را ارائه کرده است که از سایت رسمی وردپرس (wordpress.org) قابل دریافت هستند. این افزونه‌ها قابلیت‌های مختلفی را برای کاربران وب‌سایت‌های فروشگاهی فراهم می‌کنند.
افزونه‌ها حدود ۲۰۰۰۰ نصب فعال دارند که شامل ۱۰۰۰۰ نصب برای افزونه Page Visit Counter، ۳۰۰۰ نصب برای افزونه WooCommerce Category Banner Management و ۲۰۰۰ نصب برای افزونه WooCommerce Checkout for Digital Goods می‌باشند.
این پلاگین‌ها در قبال تزریق اسکریپت از طریق وب‌گاه (XSS)، جعل درخواست میان وب‌گاهی (CSRF) و تزریق SQL آسیب‌پذیر هستند. مهاجمین می‌توانند از این آسیب‌پذیری‌ها استفاده کنند تا حملات deface، اجرای Shell از راه دور، قرار دادن keylogger و نصب کاوشگر ارز دیجیتالی را انجام دهند. همچنین مهاجمین می‌توانند به اطلاعات وب‌سایت شامل اطلاعات فردی و مالی کاربران دسترسی پیدا کنند.
آسیب‌پذیری به مهاجم احرازهویت نشده اجازه می‌دهد تا کد جاوااسکریپت مخرب را تزریق کند و اطلاعات کارت‌های اعتباری کاربران سایت و اطلاعات ورود مدیران سایت را برباید.
بدلیل عدم پاسخگویی شرکت سازنده این افزونه‌ها، وردپرس تصمیم به غیرفعال‌سازی افزونه‌های تحت تاثیر گرفته است.
۴ شناسه CVE به این آسیب‌پذیری‌ها تخصیص یافته است که شامل موارد CVE-۲۰۱۸-۱۱۵۷۹، CVE-۲۰۱۸-۱۱۵۸۰، CVE-۲۰۱۸-۱۱۶۳۳ و CVE-۲۰۱۸-۱۱۶۳۲ هستند. ThreatPress می‌گوید که انتظار می‌رود شناسه‌های بیشتری نیز تخصیص یابند.
جزئیات فنی و کد اثبات مفهومی (PoC) این آسیب‌پذیری‌ها نیز از طرف ThreatPress منتشر شده‌اند.
 
  • Email, SSL
  • 0 Korisnici koji smatraju članak korisnim
Je li Vam ovaj odgovor pomogao?

Related Articles

حمله گسترده به زیرساخت سایبری کشور

امن سرور / خبرهای رسیده گویای این است که سرویس‌ها و وبسایت‌های مهمی در کشور به دلیل مشکلات سایبری...

مک‌کافی اعلام کرد: 26 درصد شرکت‌های دنیا قربانی سرقت کلاد

طبق گزارش سالانه جدید شرکت امنیت سایبری «مک‌کافی»، شرکت‌ها و سازمان‌ها به‌طور روزافزون در حال...

بهترین زبان های برنامه نویسی برای کسب تخصص در حوزه امنیت سایبری

امنیت سایبری (Cybersecurity) یکی از کلیدی ترین و مهم ترین بخش های دنیای امروز است که با گسترش...

تلگرام پاسپورت چیست؟

امن سرور - تلگرام پاسپورت بر اساس فناوری بلاکچین ساخته شده و هدف از آن، آسان شدن احراز هویت...

VirusTotal Droidy

    VirusTotal یکی از بزرگترین و محبوب‌ترین پویش‌گرهای ضد ویروس، سرویس سندباکس اندروید خود...