خفايا الأنترنت  خفايا الأنترنت

آخر الأخبار

جاري التحميل ...

3 ثغرات من نوع Zero-Day على 3 اضافات الورد برس WordPress


قام بعض القراصنة ب استغلال 3 ثغرات من نوع zero-days  على مواقع الورد برس, و هادا وفقا ل ما نشرته الشركة المتخصصة في حماية مواقع الورد برس WordPress security firm Wordfence. 

و الثغرات موجودة على 3 اضافات 'plugins' و هي
  1. Appointments,
  2. RegistrationMagic-Custom Registration Forms,
  3. Flickr Gallery.

و في نفس الوقت قام مبرمجو ال plugins ب تنزيل تحديث جديد و اصلاح الثغرة اي انه  يجب على اي موقع يستخدم هده الاضافات ان يقوم ب تحديثها فورا او سيتم اختراق موقعه في اي لحضة .
و الثغرة عبارة على PHP object injection اي انها ثغرات حقن و كل باحث امني او اي شخص متخصص في مجال الحماية يعرف جيدا مدى خطورة ثغرات الحقن .

الثغرة تسمح للقراصنة ب حقن backdoors على اي موقع مصاب 

و قال الباحث الامني Brad Haas من ays Wordfence researcher 'هده الثغرة تسمح للمهاجمين ب رفع ملف  PHP backdoor او شل على الموقع بكل سهولة '
و قد قال  Brad Haas هده الثغرة سهلة جدا في الاستغلال اي انه اي شخص غير متخصص في مجال الحماية يمكنه ان يقوم ب استغلال الثغرة و هادا عبر حقن كود في  HTTP POST 
"exploit code inside an HTTP POST request "

و ب النسبة للمواقع التي تستخدم  اضافة Flickr Gallery  فيتطلب من الهاكر استهداف root  URL و يمكنه استهداف طلب POST في ملف admin-ajax.php .
و يمكن للمهاجمين ان يقومو ب رفع ملف ضار (backdoor)على الموقع المستهدف في بضع دقائق فقط .

حوالي 21,000 موقع مصاب ب الثغرة !!!

و قالت شركة Wordfence انه بعد التحقيق في سلسلة اختراق مواقع الورد برس و بعد تحليل المواقع المخترقة قامو ب ايجاد الثغرة التي يقومو ب استغلالها  المهاجمون .

و حسب ما قيل انه ليست كل المواقع ال 21,000 قامت ب تنصيب الاضافات اي انهم لا يستخدمون الاضافات .
و الاخبار  السيئة هي ان ثغرات ال zero-days سهلة الاستخدام اي انه اي شخص يقوم ب تحميل ملف الاستغلال او يعرف كيفية استغلالها و يقوم ب اختراق اي موقع مصاب .

و تم تصنيف الثغرة على انها اشد خطورة و تم تصنيفها من 9.8 الى 10 على مقياس  CVSSv3 وهو مرتفع جدا، ويصنف الثغرة  بأنها "حرجة".

  
يمكن لمالكي مواقع الويب التي تستخدم الورد برس WordPress تحديث الإضافات إلى الإصدارات المصححة، أو يمكنهم إزالة الإضافات، فقط ليكونوا على الجانب الآمن. 

عن الكاتب

sohaip- hackerDZ صهيب ناصري مدون جزائري أبلغ من العمر 21 سنة أحب مشاركة أفكاري على الانترنت متخصص في مجال التقنية و أمن المعلومات أهدف الى إثراء المحتوى العربي بالمحتوى الحصري فقط!

التعليقات


اتصل بنا

إذا أعجبك محتوى مدونتنا نتمنى البقاء على تواصل دائم ، فقط قم بإدخال بريدك الإلكتروني للإشتراك في بريد المدونة السريع ليصلك جديد المدونة أولاً بأول ، كما يمكنك إرسال رساله بالضغط على الزر المجاور ...

جميع الحقوق محفوظة

خفايا الأنترنت

كل عام والأمة الأسلامية بخير

رمضان كريم