هکرها افزونه تقویم وردپرس را هدف قرار دادند

هکرها در تلاشند تا از آسیب  پذیری موجود در افزونه ی «تقویم رویدادهای مدرن» (Modern Events Calendar) برای وردپرس که روی بیش از ۱۵۰,۰۰۰ وب‌سایت نصب شده، سوءاستفاده کنند. این میزان از ضعیف بودن به آنها اجازه می دهد تا فایل های دلخواه را روی سرور سایت آسیب  پذیر آپلود کرده و کد را از راه دور اجرا نمایند.این افزونه توسط شرکت Webnus توسعه یافته و برای سازماندهی و مدیریت رویدادهای حضوری، مجازی یا ترکیبی مورد استفاده قرار می  گیرد.

این آسیب پذیری در تاریخ ۲۰ ماه می توسط Friderika Baranyai طی رویداد «Bug Bounty Extravaganza» شرکت Wordfence کشف و گزارش شده است.

در گزارشی که توسط Wordfence در خصوص این مشکل امنیتی منتشر شده، آمده است که این مسئله ناشی از نبود اعتبارسنجی نوع فایل در تابع «set featured image» این افزونه است. این تابع برای آپلود و تنظیم تصاویر شاخص رویدادها مورد استفاده قرار می  گیرد.

این تابع یک URL تصویر و آیدی پست را دریافت می  کند، سپس تلاش می  کند تا آیدی پیوست را بدست آورد و در صورت عدم وجود، تصویر را با استفاده از تابع get web page دانلود نماید.

این تابع با استفاده از توابع wp_remote_get یا file_get_contents تصویر را بازیابی کرده و آن را با استفاده از تابع file_put_contents در پوشه ی آپلودهای وردپرس ذخیره می  کند.

نسخه  های ۷.۱۱.۰ و پایین تر از افزونه ی «تقویم رویدادهای مدرن» هیچگونه بررسی بر روی نوع فایل یا پسوند فایل  های تصویری آپلود شده انجام نمی  دهند و به این ترتیب اجازه می دهند تا هر نوع فایلی، از جمله فایل  های خطرناک با پسوند .PHP آپلود شوند.

پس از آپلود شدن، می توان به این فایل ها دسترسی پیدا کرد و آن ها را اجرا نمود که منجر به اجرای کد از راه دور روی سرور و در نهایت، احتمالاً کنترل کامل وب‌سایت می شود.

هر کاربری که احراز هویت شده و یا عضور شده ، می  تواند از این آسیب پذیری سوءاستفاده کند. همچنین، در صورتی که این افزونه برای دریافت رویدادها از بازدیدکنندگان بدون حساب کاربری تنظیم شده باشد حتی بدون احراز هویت هم قابل سو استفاده است.

شرکت Webnus روز گذشته با انتشار نسخه ی ۷.۱۲.۰ از افزونه ی «تقویم رویدادهای مدرن» این آسیب پذیری را برطرف نموده است و این نسخه، به روزرسانی توصیه شده برای جلوگیری از خطر حملات سایبری می  باشد.

با این حال، Wordfence گزارش می  دهد که هکرها در حال تلاش برای سوءاستفاده از این مسئله در حملات خود بوده و طی ۲۴ ساعت گذشته، بیش از ۱۰۰ تلاش برای سوءاستفاده را مسدود کرده اند.

با توجه به تلاش  های در حال انجام برای سوءاستفاده، به کاربران افزونه  های «تقویم رویدادهای مدرن» و «تقویم رویدادهای مدرن لایت» (نسخه رایگان) اکیدا توصیه می  شود تا در اسرع وقت به آخرین نسخه به روزرسانی نمایند و یا تا زمان انجام به روزرسانی، این افزونه را غیرفعال کنند.