افزونه های وردپرس و باز هم ماجرای ناتمام آسیب پذیری ها
به تازگی آسیب پذیری جدیدی در افزونه “Ninja Forms WordPress” سیستم مدیریت محتوای وردپرس پیدا شده است که مهاجمان می توانند با سوءاستفاده از آن و از طریق ایجاد یک حساب کاربری برای مدیر سایت، کل وب سایت مورد نظر را تصاحب کنند.
Ninja Forms یک افزونه ایجاد کننده فرم در وردپرس است که بیش از 1 میلیون نصب فعال دارد. به گفته محققان امنیت سایبری، این آسیب پذیری می تواند موجب اجرای حمله XSS در حالت “legacy” شود. لازم به ذکر است که چنین حالتی به کاربران امکان انتخاب طرح بندی و ویژگی های موردنظر خودشان را بر اساس نسخه قدیمی این افزونه می دهد.
بر اثر این آسیب پذیری، اگر مهاجم بتواند مدیر سایت را فریب داده و متقاعد کرده که بر روی لینکی مخرب کلیک کند خواهد توانست نشست های مدیریت سایت را جعل کرده و یک فرم تماس ساختگی را جایگزین اسکریپت های موجود و قانونی آن کند. این کد مخرب، بسته به آن که در کدام قسمت به کار رود می تواند یا در مرورگر قربانی در زمان تکمیل فرم توسط او ظاهر شده یا در هنگام ایجاد یک فرم توسط مدیر وب سایت، خود را نمایان سازد.
محققان معتقدند: «همان طور که معمولاً در حملات XSS مشاهده می شود، از اسکریپت مخربی که در مرورگر مدیر سایت اجرا می شود می توان برای اضافه کردن حساب های کاربری مدیریتی جدید استفاده کرد. این موضوع در نهایت منجر به تصاحب کامل سایت خواهد شد. همچنین زمانی که اسکریپت های مخرب در مرورگر بازدیدکنندگان اجرا شوند می توانند مسیر او را به سمت سایت های مخرب تغییر دهند».
خوشبختانه برنامه نویسان این افزونه، نسخه به روزرسانی شده ای از آن را ارایه کرده و از همه کاربران این افزونه خواسته اند به منظور محافظت بهتر، آخرین نسخه آن را نصب کنند.
منبع: zdnet
