مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای نسبت به آسیب پذیری وردپرس (سیستم مدیریت محتوا) هشدار داد.
به گزارش تکراتو، محقق امنیت سایبری مرکز Secarma ، به تازگی یک آسیب پذیری بر روی زبان PHP منتشر کرده که بخش Installations سیستم مدیریت محتوای سایت وردپرس ( WordPress ) را آسیب پذیر خواهد کرد. بر اساس این گزارش، این آسیب پذیری که از نوع Code Execution است در تاریخ ۲۸ فوریه ۲۰۱۷ به تیم امنیتی وردپرس گزارش شده، اما تا امروز این مشکل رفع نشده است.
هشدار مرکز ماهر نسبت به آسیب پذیری وردپرس
این آسیب پذیری اعلام شده در مورد وردپرس، فقط برای این سیستم مدیریت محتوا نیست زیرا این آسیب پذیری در زبان برنامه نویسی PHP وجود دارد و تمامی اپلیکیشنهای مبتنی بر پی اچ پی ( PHP-based ) را تحت تأثیر خود قرار خواهد داد.
این آسیب پذیری در ساختار Deserialization زبان برنامه نویسی PHP وجود. سال ۲۰۰۹ بود که برای اولین بار محقق امنیت سایبری آلمانی به نام Stefan Esser حمله موفقیت آمیز به ساختار Deserialization را منتشر کرد.
آسیب پذیری وردپرس باعث میشود که هکر بتواند دادههای مد نظر خود را روی سرور قربانی آپلود کند. این موضوع باعث میشود که امکان اجرای کدهای آلوده روی سرور امکان پذیر باشد. این آسیب پذیری قادر است بر روی پروسه عملکرد توابع thumbnail در سیستم مدیریت محتوا WordPress اثر بگذارد و در صورت آپلود شدن فایلهای عکس آلوده روی سرور، امکان Exploit کردن این آسیب پذیری برای نفوذگر فراهم شود.
نحوه استفاده از آسیب پذیری وردپرس برای حمله
برای اینکه بتوان از آسیب پذیری وردپرس استفاده کرد و به این سیستم حمله نمود در ابتدا لازم است که دو فایل متفاوت Payload ، یکی برای نسخه ۴.۹ و دیگری برای نسخههای پایینتر آماده شود. متاسفانه وردپرس تا امروز برای رفع این آسیب پذیری هیچ بروزرسانی منتشر نکرده است.
مرکز ماهر در این مورد از کاربران خواست که برای جلوگیری از حمله علیه اینCMS ها و کتابخانههای مشابه، به روزرسانیهایی که در چند روز آینده ارائه میشوند را روی سامانههای خود اعمال کنند.
هفته گذشته بود که آسیب پذیری وردپرس در دو کنفرانس BlackHat و BSides معرفی شد.
.
منبع: mehrnews
آیا در زمینه ای تخصص و تجربه کافی را دارید؟ دانش خود را با کاربران تکراتو به اشتراک بگذارید. برای کسب اطلاعات بیشتر با ما تماس بگیرید.