تؤثر ثغرة WP Bakery WordPress على ملايين المواقع


اكتشف الباحثون ثغرة أمنية في منشئ صفحات WP Bakery تسمح للمهاجمين بحقن JavaScript ضار في الصفحات والمنشورات. تسمح الثغرة الأمنية للمهاجم بحقن كود في الصفحات والمشاركات التي تهاجم بعد ذلك متصفحات زوار الموقع.

ثغرة أمنية مصادق عليها ومخزنة في البرمجة النصية عبر المواقع (XSS)

تتميز الثغرات الأمنية في البرمجة النصية عبر المواقع من خلال اكتساب المهاجم القدرة على استهداف متصفحات الزوار باستخدام البرامج النصية الضارة التي تم وضعها خلسةً على موقع ويب.

تعد هجمات XSS من بين أكثر أنواع نقاط الضعف شيوعًا.

يُطلق على هذا الهجوم المحدد ثغرة أمنية مصادق عليها ومخزنة في البرمجة النصية عبر المواقع. ثغرة XSS المخزنة هي تلك التي يضع فيها المهاجم نصًا برمجيًا على موقع الويب.

لكن هذه ثغرة XSS مخزنة ومصادق عليها ، مما يعني أن المهاجم يجب أن يكون لديه بيانات اعتماد موقع الويب لتنفيذ الهجوم.

هذا يجعله أقل خطورة لأنه يتطلب من المهاجم اتخاذ الخطوة الإضافية للحصول على بيانات الاعتماد.

ذات صلة: كيف يؤثر أمان موقع الويب على تحسين محركات البحث لديك؟

WP Bakery المصادق عليه ثغرة XSS المخزنة

تتطلب هذه الثغرة الأمنية الخاصة بـ WP Bakery أن يحصل المهاجم على بيانات اعتماد نشر على مستوى المؤلف أو المساهم على موقع ويب.

بمجرد حصول المهاجم على بيانات الاعتماد ، يمكنه إدخال البرامج النصية في أي منشور أو صفحة. كما أنه يمنح المهاجم القدرة على تغيير المشاركات التي أنشأها مستخدمون آخرون.

هذه الثغرة الأمنية تتكون من عيوب متعددة.

سمحت العيوب بإدخال HTML و JavaScript في المنشورات أو الصفحات الخاصة بالمستخدمين المعتمدين وأيضًا تلك الخاصة بالمؤلفين الآخرين. كان هناك أيضًا عيب آخر محدد كان يستهدف الأزرار التي تم إرفاق وظيفة JavaScript بها.

ميلادي

أكمل القراءة أدناه

وفقًا لـ WordFence:

“يحتوي المكون الإضافي أيضًا على وظيفة مخصصة عند النقر للأزرار. أتاح ذلك للمهاجم إدخال JavaScript ضار في زر تم تنفيذه بنقرة زر واحدة. بالإضافة إلى ذلك ، كان المستخدمون على مستوى المساهم والمؤلف قادرين على استخدام vc_raw_js و vc_raw_html وزر custom_onclick ذو الشفرة المختصرة لإضافة JavaScript ضار إلى المنشورات. “

يتأثر WP Bakery Page Builder 6.4 وما قبله

تم اكتشاف الثغرة الأمنية في أواخر يوليو 2020. أصدرت WP Bakery تصحيحًا في أواخر أغسطس ، ولكن لا تزال هناك مشكلات أخرى ، بما في ذلك التصحيح الثاني الذي تم إصداره في أوائل سبتمبر.

تم إصدار التصحيح الأخير الذي أغلق الثغرة الأمنية في 24 سبتمبر 2020.

يقوم مطورو البرامج الإضافية بنشر سجل التغيير. محتوى سجل التغيير هو ما يظهر في منطقة المكوِّن الإضافي لمدير WordPress الذي ينقل مضمون التحديث.

ميلادي

أكمل القراءة أدناه

لسوء الحظ ، لا يعكس سجل تغيير WP Bakery مدى إلحاح التحديث لأنه لا يذكر صراحة أنه يعمل على تصحيح ثغرة أمنية. يشير سجل التغيير إلى تصحيحات الثغرات الأمنية على أنها تحسينات.

سجل التغيير في WP Bakery Page Builder

سجل التغيير في WP Bakery Page Builder

ميلادي

أكمل القراءة أدناه

غالبًا ما يتم تضمين المكون الإضافي WP Bakery Page Builder في السمات. يجب على الناشرين التحقق من المكونات الإضافية والتأكد من أن لديهم الإصدار الأحدث والأكثر أمانًا ، وهو 6.4.1.

يقتبس

تعرض الثغرة الأمنية أكثر من 4 ملايين موقع باستخدام WPBakery

سجل التغيير الخاص بـ WP Bakery Page Builder
https://kb.wpbakery.com/docs/preface/release-notes/



Related Posts

اترك رد