علة حاسمة موجودة في البرنامج المساعد وورد برس (WordPress) للعصر مع أكثر من مليون منشأة
تم العثور على مكون وورد برس الإضافي الذي يحتوي على أكثر من مليون عملية تثبيت على ثغرة خطيرة قد تؤدي إلى تنفيذ تعليمات برمجية عشوائية على مواقع الويب المخترقة. إن المكون الإضافي المعني هو (Essential Addons for Elementor)، والذي يزود مالكي مواقع وورد برس بمكتبة تضم أكثر من 80 عنصرًا وملحقًا للمساعدة في تصميم الصفحات والمنشورات وتخصيصها.
وقال باتشستاك في تقرير: “تسمح هذه الثغرة الأمنية لأي مستخدم، بغض النظر عن حالة المصادقة أو التفويض، بتنفيذ هجوم تضمين ملف محلي”. ويمكن استخدام هذا الهجوم لتضمين ملفات محلية على نظام ملفات موقع الويب، مثل (/ etc / passwd). ويمكن أيضًا استخدام هذا لأداء (RCE) عن طريق تضمين ملف برمز (PHP) ضار لا يمكن تنفيذه عادةً.
ومع ذلك، فإن الضعف موجود فقط إذا تم استخدام الحاجيات مثل المعرض الديناميكي ومعرض المنتج، والذي يستخدم الوظيفة الضعيفة، مما يؤدي إلى إدراج الملفات المحلية – تقنية هجوم يتم فيها خداع تطبيق ويب في تعريض أو تشغيل الملفات التعسفية على خادم الويب. ويؤثر العيب على جميع إصدارات أدون (Addon) من 5.0.4 وما أدناه، ومن قام باكتشاف الضعف هو الباحث واي يان ميو ثيت (Wai Yan Myo Thet). بعد الإفصاح المسؤول، تم توصيل حفرة الأمان أخيرًا في الإصدار 5.0.5 صدر في 28 يناير بعد عدة بقع غير كافية. ويأتي التطوير بعد أسابيع من أن يظهر أن الجهات الفاعلة غير المجهولين العبث بها العشرات من مواضيع وورد برس والمكونات الإضافية التي استضافتها على موقع الويب الخاص بالمطور لحقن الأبعاد بهدف إصابة مزيد من المواقع.
المصدر:http://thehackernews.com
