نکات امنیتی Elementor و WP Super Cache

نکات امنیتی Elementor و WP Super Cache - محققان در تعدادی از افزونه های وردپرس اشکالاتی را کشف کرده اند. اگر با موفقیت مورد سو استفاده قرار گیرد ، می تواند به مهاجم اجازه اجرای کد دلخواه را بدهد. Elementor ، یک افزونه وب سایت ساز در بیش از هفت میلیون سایت مورد استفاده قرار می گیرد. WP Super Cache ، ابزاری که برای سرویس دهی صفحات پنهان شده یک سایت وردپرس استفاده می شود ، هر دو دارای نقص بودند. بر اساس Wordfence ، که اشکالات امنیتی Elementor را کشف کرد ، این اشکال مجموعه ای از آسیب پذیری های ذخیره شده اسکریپت نویسی ( XSS ) ذخیره شده را تحت تأثیر قرار می دهد (نمره CVSS: 6.4) ، که وقتی یک اسکریپت مخرب مستقیماً به یک برنامه وب آسیب پذیر تزریق می شود ، رخ می دهد. به دلیل عدم اعتبارسنجی برچسب های HTML در سمت سرور ، یک بازدیدکننده بد می تواند از یک درخواست ساختگی برای تزریق JavaScript اجرایی به یک پست یا صفحه استفاده کند. "از آنجا که پست های ایجاد شده توسط همکاران معمولاً قبل از انتشار توسط سردبیران یا مدیران بررسی می شوند. هر جاوا اسکریپت که به یکی از این پست ها اضافه شود در مرورگر مرورگر اجرا می شود ". Wordfence در یک پست وبلاگ فنی توضیح داده شده است. "اگر یک مدیر پستی را که حاوی JavaScript مخرب است بررسی کرد. جلسه تأیید شده آنها با امتیازات سطح بالا می تواند برای ایجاد یک مدیر مخرب جدید استفاده شود. یا برای افزودن backdoor به سایت. حمله به این آسیب پذیری می تواند منجر به تصرف سایت شود. "

نقص چندین عنصر HTML کشف شده است

چندین عنصر HTML ، از جمله عنوان ، ستون ، آکاردئون ، آیکون جعبه و جعبه تصویر ، در معرض حمله XSS فروشگاه قرار دارند. اجازه دادن به هر کاربر برای دسترسی به ویرایشگر Elementor و درج جاوا اسکریپت اجرایی. زیرا این نقایص از این واقعیت استفاده می کنند که می توان از داده های پویا وارد شده در یک الگو برای نوشتن اسکریپت های مخرب استفاده کرد. با شروع حملات XSS ، با اعتبار سنجی ورودی و فرار از داده های خروجی می توان از چنین رفتاری جلوگیری کرد تا برچسب های HTML که به عنوان ورودی منتقل می شوند بی خطر باشند. به طور جداگانه ، WP Super Cache دارای یک آسیب پذیری اجرای کد از راه دور معتبر (RCE) است. این می تواند به مهاجم اجازه دهد با هدف کنترل سایت ، کد مخربی را بارگذاری و اجرا کند. بیش از دو میلیون سایت وردپرسی از این افزونه استفاده می کنند. Elementor با سخت کردن "گزینه های مجاز در ویرایشگر برای اجرای سیاست های امنیتی بهتر" مشکلات موجود در نسخه 3.1.4 را برطرف کرد. به همین ترتیب ، Automattic ، شرکت پشت WP Super Cache ، اظهار داشت که نسخه 1.7.2 RCE تأیید شده در صفحه تنظیمات" را برطرف می کند. اکیداً توصیه می شود که کاربران افزونه ها را برای کاهش خطر نقص به جدیدترین نسخه ها بروزرسانی کنند. اگر این پست را مفید دانستید ، لطفاً آن را به اشتراک بگذارید.