جیمکس ادز / جی مگ / مقالات تکنولوژی / هکرها افزونه تقویم وردپرس را هدف قرار دادند

هکرها افزونه تقویم وردپرس را هدف قرار دادند

آواتار مهشید عشوری مهشید عشوری زمان انتشار: 2024/07/10
آخرین به‌روز‌رسانی: 2024/07/29 زمان مطالعه: 3 دقیقه
هکرها افزونه تقویم وردپرس را هدف قرار دادند
تبلیغ گوگل

هکرها در تلاشند تا از آسیب  پذیری موجود در افزونه ی «تقویم رویدادهای مدرن» (Modern Events Calendar) برای وردپرس که روی بیش از ۱۵۰,۰۰۰ وب‌سایت نصب شده، سوءاستفاده کنند. این میزان از ضعیف بودن به آنها اجازه می دهد تا فایل های دلخواه را روی سرور سایت آسیب  پذیر آپلود کرده و کد را از راه دور اجرا نمایند.این افزونه توسط شرکت Webnus توسعه یافته و برای سازماندهی و مدیریت رویدادهای حضوری، مجازی یا ترکیبی مورد استفاده قرار می  گیرد.

این آسیب پذیری در تاریخ ۲۰ ماه می توسط Friderika Baranyai طی رویداد «Bug Bounty Extravaganza» شرکت Wordfence کشف و گزارش شده است.

در گزارشی که توسط Wordfence در خصوص این مشکل امنیتی منتشر شده، آمده است که این مسئله ناشی از نبود اعتبارسنجی نوع فایل در تابع «set featured image» این افزونه است. این تابع برای آپلود و تنظیم تصاویر شاخص رویدادها مورد استفاده قرار می  گیرد.

این تابع یک URL تصویر و آیدی پست را دریافت می  کند، سپس تلاش می  کند تا آیدی پیوست را بدست آورد و در صورت عدم وجود، تصویر را با استفاده از تابع get web page دانلود نماید.

این تابع با استفاده از توابع wp_remote_get یا file_get_contents تصویر را بازیابی کرده و آن را با استفاده از تابع file_put_contents در پوشه ی آپلودهای وردپرس ذخیره می  کند.

نسخه  های ۷.۱۱.۰ و پایین تر از افزونه ی «تقویم رویدادهای مدرن» هیچگونه بررسی بر روی نوع فایل یا پسوند فایل  های تصویری آپلود شده انجام نمی  دهند و به این ترتیب اجازه می دهند تا هر نوع فایلی، از جمله فایل  های خطرناک با پسوند .PHP آپلود شوند.

مطالعه بیشتر:  رفع هک اکانت یوتیوب با ربات جدید گوگل

پس از آپلود شدن، می توان به این فایل ها دسترسی پیدا کرد و آن ها را اجرا نمود که منجر به اجرای کد از راه دور روی سرور و در نهایت، احتمالاً کنترل کامل وب‌سایت می شود.

تبلیغ گوگل

هر کاربری که احراز هویت شده و یا عضور شده ، می  تواند از این آسیب پذیری سوءاستفاده کند. همچنین، در صورتی که این افزونه برای دریافت رویدادها از بازدیدکنندگان بدون حساب کاربری تنظیم شده باشد حتی بدون احراز هویت هم قابل سو استفاده است.

شرکت Webnus روز گذشته با انتشار نسخه ی ۷.۱۲.۰ از افزونه ی «تقویم رویدادهای مدرن» این آسیب پذیری را برطرف نموده است و این نسخه، به روزرسانی توصیه شده برای جلوگیری از خطر حملات سایبری می  باشد.

با این حال، Wordfence گزارش می  دهد که هکرها در حال تلاش برای سوءاستفاده از این مسئله در حملات خود بوده و طی ۲۴ ساعت گذشته، بیش از ۱۰۰ تلاش برای سوءاستفاده را مسدود کرده اند.

با توجه به تلاش  های در حال انجام برای سوءاستفاده، به کاربران افزونه  های «تقویم رویدادهای مدرن» و «تقویم رویدادهای مدرن لایت» (نسخه رایگان) اکیدا توصیه می  شود تا در اسرع وقت به آخرین نسخه به روزرسانی نمایند و یا تا زمان انجام به روزرسانی، این افزونه را غیرفعال کنند.

 

 

آواتار مهشید عشوری
مهشید عشوری

من مهشید عشوری، نویسنده و تولیدکننده محتوای جیمکس ادز و شیفته دنیای سئو هستم. عاشق نوشتن درمورد یوتیوب، درآمد دلاری و تبلیغات گوگلم. هدف من توی جیمکس نوشتن محتواهای به روزی هست که مسیر نقد درآمد یوتیوب و تبلیغ در گوگل رو برای شما هموار کنه

نظرات کاربران درباره پست
نظرات خود را درباره این سرویس ثبت کنید

نوشته های مشابه

آیا می توان با موسیقی هوش مصنوعی در یوتیوب درآمدزایی کرد؟
آیا می توان با موسیقی هوش مصنوعی در یوتیوب درآمدزایی کرد؟

بسیاری از تولیدکنندگان محتوا در یوتیوب این سوال را دارند که آیا می توانند از موسیقی با هوش مصنوعی برای درآمدزایی برند خود استفاده کنند. هوش مصنوعی پیشرفت زیادی...

افشای رنگ های گوشی سامسونگ گلکسی S25 Ultra
افشای رنگ های گوشی سامسونگ گلکسی S25 Ultra

افشاگر معروف سامسونگ، Ice Universe، به تازگی چهار گزینه رنگی که برای گوشی آینده گلکسی S25 Ultra در دسترس خواهند بود را فاش کرده است. یکی از این گزینه ها، نسخه ای از جنس...

بررسی تفاوت های جمنای (Gemini) و جمنای لایو (Gemini live)
بررسی تفاوت های جمنای (Gemini) و جمنای لایو (Gemini live)

گوگل به عنوان یکی از غول های دنیای تکنولوژی همیشه نقش برجسته‌ای در زمینه هوش مصنوعی داشته و یکی از اصلی ترین بازیکنان در این میدان بوده است. “ترنسفورمر”، که...