وردپرس 4.8.2 با 9 به روزرسانی امنیتی فوق العاده مهم منتشر شد!

سعید ناصریسعید ناصریژوئن 27, 20202min0

وردپرس 4.8.2 از مهمترین بروزرسانی ها در تاریخ وردپرس است که تاکنون منتشر شده است. در این نسخه ، 9 آسیب پذیری امنیتی مهم در بخشهای نفوذ در پایگاه داده (SQL Injection) وب سایت کشف و رفع شده است.

بنابراین ما به شدت توصیه می کنیم اگر هنوز وردپرس خود را به روز نکرده اید ، در اسرع وقت این کار را انجام دهید.

میزبان های ویژه WordPress بسته های میزبان وردپرس را مشاهده می کنند

حفره های امنیتی موجود در WordPress 4.8.2

1- $ wpdb-> تهیه () کدی است که به طور غیر منتظره می تواند منجر به نفوذ به بانک اطلاعاتی یا SQL Injection شود. اگرچه این سوراخ به طور مستقیم با هسته وردپرس ارتباطی ندارد ، اما این یک فرصت بالقوه برای برخی قالب ها و افزونه ها است که با سوء استفاده از آن می توانند به آسیب های جبران ناپذیری منجر شوند. بنابراین ، وردپرس 4.8.2 اقداماتی را برای نابینایی احتمال سوء استفاده از این بخش انجام داده است.

2- پنج آسیب پذیری مهم XSS مربوط به بخش های زیر در WordPress 4.8.2 کشف و رفع شده است:
کدهای OEmbed
ویرایشگر ویژوال
ویرایشگر افزونه
پروتکل های نام الگو
فرآیندهای ایجاد پیوند

XSS یا Cross-Site Scriptting نوعی فعالیت مخرب است که ابتدا مجموعه ای از کد برنامه ریزی شده را به یک فایل میزبان یا قالب پرونده تزریق می کند و از زیرساخت های آن برای انتقال به وب سایت دیگری استفاده می کند. نکته اصلی انجام آسیب است. این نفوذ معمولاً از طریق وب سایتهایی صورت می گیرد که پروتکل های ورودی آنها رمزگذاری نشده است. یکی از رایج ترین مظاهر این نوع حمله ایجاد فایل های html در محل نصب وردپرس است.

3- این آسیب پذیری در بخش ویرایش کاربران و قوانین به عنوان Open Redirect مشخص شده است.

Open Redirect یک نقص امنیتی در برنامه ها و صفحات وب است که منجر به تأیید نادرست آدرس ها (Urls) می شود.
وقتی برنامه ها و صفحات وب برای دریافت محتوا به یک URL مراجعه می کنند ، فرض می کنند که URL بر اساس آدرس دامنه ذکر شده است. این فرض صحیح است ، اما Open Redirect نقصی است که می تواند از این قاعده استفاده کند و آدرس مورد نظر خود را با صحیح جایگزین کند. بنابراین مهاجمین کاربران آن وب سایت یا برنامه را به یک صفحه شخص ثالث ، احتمالاً دارای محتوای مخرب یا فریب دهنده هدایت می کنند.

4. آسیب پذیری های WordPress 4.8 در اینجا در Path Traversal خاتمه می یابد. این سوراخ امنیتی می تواند منجر به بارگذاری پرونده های مخرب در وب سایت وردپرس شما شود ، که خوشبختانه در بخش شخصی سازی قالب کشف شده و در نسخه جدید وردپرس برطرف شده است.

Path Traversal یک نقص امنیتی است که به مهاجمان اجازه می دهد تا به پوشه یا پوشه محدود در وب سایت دسترسی پیدا کنند. با این دسترسی ، مهاجم می تواند پرونده هایی را در خارج از مسیر اصلی نصب وردپرس اجرا کند.

علاوه بر به روزرسانی های امنیتی ، WordPress 4.8.2 یک پیام رسان برای عیب یابی متن و ابزارک های ویرایش بوده است.

وردپرس 4.8.2 چه فایلها و مسیرهایی را اجرا کرده است؟

wp-admin / about.php
wp-admin / edit-tag-form.php
wp-admin / شامل / class-wp-plugins-list-table.php
wp-admin / شامل / file.php
wp-admin / شامل / قالب.php
wp-admin / install.php
wp-admin / js / widget / text-widgets.js
wp-admin / js / widget / text-widgets.min.js
wp-admin / plugin-editor.php
wp-admin / plugins.php
wp-admin / setup-config.php
wp-admin / theme-editor.php
wp-admin / user-edit.php
wp-شامل / class-wp-customize-manager.php
wp-شامل / embed.php
wp-شامل / formatting.php
wp-شامل / js / mce-view.js
wp-شامل / js / mce-view.min.js
wp-شامل / js / tinymce / plugins / wplink / plugin.js
wp-شامل / js / tinymce / plugins / wplink / plugin.min.js
wp-شامل / js / tinymce / wp-tinymce.js.gz
wp-شامل / js / twemoji.js
wp-شامل / js / twemoji.min.js
wp-شامل / js / wp-emoji-loader.js
wp-شامل / js / wp-emoji-loader.min.js
wp-شامل / js / wp-emoji-release.min.js
wp-شامل / js / wplink.js
wp-شامل / js / wplink.min.js
wp-شامل / اسکریپت-loader.php
wp-شامل / نسخه.php
wp-شامل / ابزارک / class-wp-widget-text.php
wp-شامل / wp-db.php

تاریخچه بروزرسانی های وردپرس

منابع

یک نظر بدهید

ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت گذاری شده اند *

3 × 1 =