آسیب پذیری بحرانی XSS در وردپرس
- سه شنبه, 31st ژانویه, 2017
- 21:24pm
ميليون ها سايت وردپرس در معرض خطر حملات اسکريپت بين سايتي قرار دارند. اين حملات ناشي از وجود يک آسيب پذيري است که به طور پيش فرض در نصب محتوي سيستم مديريت قرار دارد.
David Dede، محقق امنيتي روز پنج شنبه هشدار داد که اين آسيب پذيري يک نقص اسکرييت بين سايتي است که در پلاگين و تم هايي که به طور پيش فرض در سايت هاي وردپرس جديد نصب مي شوند وجود دارد. اين محقق گفت: تخمين تعداد سايت هاي آسيب پذير دشوار است اما ميليون ها سايتي که از پلاگين ها و تم هاي آسيب پذير استفاده کنند در معرض خطر قرار دارند و بنا به گزارشات در حال حاضر از اين آسيب پذيري در حملات سايبري سوء استفاده مي شود.
علاوه بر اين پلاگين JetPack، نيز نسبت به آسيب پذيري XSS مبتني بر DOM آسيب پذير مي باشد. اين پلاگين، که ابزار سفارشي سازي، تجزيه و تحليل ترافيک و widgetهاي جديد را پيشنهاد مي دهد به طور فعال بر روي بيش از ميليون هاي وب سايت در حال استفاده است.
در صورت سوء استفاده موفقيت آميز از اين آسيب پذيري، نقص XSS مي تواند براي اجراي کد جاوا اسکريپت در مرورگر و ارتباط ربايي وب سايت وردپرس مورد سوء استفاده قرار بگيرد. در صورتي حمله با موفقيت انجام مي شود که صاحب سايت به عنوان ادمين وارد سايت شده باشد.
Dede اظهار داشت سوء استفاده از اين آسيب پذيري بسيار ساده است. هم چنين اصلاح اين آسيب پذيري ساده است و به راحتي مي توان با حذف فايل genericons/example.html اين مشکل را برطرف کرد. به صاحبان سايت هاي وردپرس توصيه مي شود تا سريعا اين کار را انجام دهند.
منبع: certcc.ir
