تم فارست فارسی

هک بیش از یک میلیون سایت با آسیب پذیری افزونه Duplicator

افزونه Duplicator که قبلا در مورد آن توضیح داده بودم، در نسخه های قبل از ۱.۳.۲۸ دارای حفره امنیتی است، بنابراین برای جلوگیری از آسیب پذیری افزونه Duplicator و امنیت وردپرس حتما اگر از آن استفاده می کنید افزونه را به روزرسانی کنید.

افزونه Duplicator به شما کمک می کند تا یک خروجی از سایت خود گرفته و وب سایتتان را در جای دیگر ایمپورت ایمپورت کنید.

هر دو نسخه تجاری و رایگان افزونه دارای حفره امنیتی هستند؛ پس حتما این افزونه را به اخرین نسخه به روزرسانی کنید.

این افزونه در نسخه رایگان خود دارای بیش از ۱ میلیون نصب فعال است و با این آسیب پذیری تمام این یک میلیون سایت در خطر قرار دارند.

افزونه Duplicator در نسخه های قبل از ۱.۳.۲۸ از طریق تابع duplicator_download فایل دانلودی را در اختیار کاربران غیرمجاز قرار می دهد؛ علاوه بر این هیچ اعتبارسنجی، مسیرهای بارگیری پرونده را محدود نکرده اند.

این بدان معنی است که یک مهاجم می تواند با ارسال مقادیری مانند ../../../file.php، به پرونده های خارج از فهرست در نظر گرفته شده توسط  Duplicator دسترسی پیدا کند و به ساختار پرونده های موجود در سرور دسترسی داشته باشد.

علاوه بر این مورد نقص های یکسانی نیز در تابع ()duplicator_init وجود دارد، که توسط اشاره گر init وردپرس فراخوانی می شود.

این تابع در هر بار لود شدن صفحه وردپرس چه برای کاربران وارد شده و چه بازدیدکنندگان غیرمجاز، به طور یکسان انجام می شود و این یعنی یک مهاجم می تواند با اضافه کردن یک سری کوئری به هر مسیری در یک سایت آسیب پذیر، بارگیری پرونده را شروع کند.

خوشبخاتانه هر دو حالت اسیب پذیری افزونه Duplicator در نسه جدید یعنی ۱.۳.۲۸ بهبود یافته است و اگر از نسخه های قدیمی تر استفاده می کنند، همین الان نسخه خود را به روزرسانی نمایید تا از آسیب پذیری در امان باشید.

۵ / ۵ ( ۴ امتیاز )

عاطفه نوربخش

عاطفه نوربخش هستم؛ هم بنیانگذار ” وردپرس نارنجی ” که حاصل تجربه های خودم در حوزه تخصصی وردپرس را برایتان می نویسم و تلاش میکنم به شما کمک کنم تا با سیستم مدیریت محتوای وردپرس، سایت وردپرسی ای زیبا و حرفه ای داشته باشید.

mojadam

    نوشته‌های مرتبط

    قوانین ارسال دیدگاه

    • دیدگاه های فینگلیش تایید نخواهند شد.
    • دیدگاه های نامرتبط به مطلب تایید نخواهد شد.
    • از درج دیدگاه های تکراری پرهیز نمایید.
    دیدگاه‌ها

    *
    *

    0