16922060824144624
recent
أخبار ساخنة

ثغرة في اضافة Captcha ل مواقع الورد برس تصيب 300,000 موقع

الخط
ان كنت احد مستخدمي سكربت الورد برس على الموقع الالكتروني الخاص بك ف يجب عليك يا صديقي ان تكون حذرا جدا في استخدام الاضافات plugin خصوصا تلك الاضافات مجهولة المصدر , في الفترة الاخيرة نشر خبراء في الامن المعلوماتي من شركة  WordFence المتخصصة في امن المواقع ثغرة جديدة في اضافة Captcha ل مواقع الورد برس , حيث تم تلغيم الاضافة ب باك دور backdoor, وتم نشرها على موقع BestWebSoft و قد تم تحميل الاضافة الاف المرات و بلغ عدد المواقع التي تستعمل الاضافة الملغمة 300,000 موقع الكتروني , و بحسب ما صرحت به WordFence ف انه لم يتم التعرف على الهاكرز الذي قام ب تلغيم الاضافة و نشرها , 
ولا يمكن اختراق المواقع المصابة من قبل اي احد فقط صاحب الاضافة  و يمكن للمخترق التحكم الكامل في لوحة التحكم الخاصة ب الورد برس (نشر مواضيع,رفع صور,ازالة و اضافة مستخدمين...الخ).
و بمجرد تثبيت الاضافة على موقعك ف انه تلقائيا يتم تحميل ملف ضار على موقعك 
في : 
ثغرة في اضافة Captcha ل مواقع الورد برس تصيب 300,000 موقع
ثغرة في اضافة Captcha ل مواقع الورد برس تصيب 300,000 موقع 

http://www.site.com/captcha/captcha_pro_update.php 

Captcha WordPress plugin
ثغرة جديدة في مواقع الورد برس
و قد تم تصميم الباك دور لإنشاء جلسة تسجيل الدخول للمهاجم(session),و هو المشرف على الاضافة الملغمة و ليس هاذا و حسب , يمتلك ايضا امتيازات إدارية مما يتيح له التعديل على الموقع كما يشاء,و هاذا يعني انه يستطيع الوصول الى  300,000 موقع و التحكم فيها , و بحسب ما جاء في موضوع  WordFence ف ان الباك دور يقوم ب تكوين جلسة session للمخترق مما يمكنه ب التكم الكامل في الموقع . و يمكنه ان يقوم ب تحميل اي ملف على المواقع المصابة   .

ثغرة في اضافة Captcha ل مواقع الورد برس تصيب 300,000 موقع
ثغرة في اضافة Captcha ل مواقع الورد برس تصيب 300,000 موقع 

و ب التعاون مع كل من WordFence و WordPress ف انهم قد قامو ب تحديث اصدار جديد من اضافة الكبتشا و هو 4.4.5. و يطلب من جميع المستخدمين تحديث مواقعهم و بحسب ما جاء في  WordFence ف انه لن يتم نشر الثغرة و طريقة استغلالها الا قبل مرور شهر من الان و هاذا كي يقوم جميع المستخدمين ب تحديث الاصدارات الموجودة على مواقعهم و تجنب اختراقها .

  1. الإضافة موجودة أيضا على مستودع ووردبريس الرسمي،
    هل هي الأخرى ملغومة ؟

    ردحذف
    الردود
    1. لا يا اخي الملغومة الموجودة على موقع BestWebSoft فقط !!!

      حذف

إرسال تعليق

نموذج الاتصال
الاسمبريد إلكترونيرسالة

يا رب تروح للجنة إشترك في قناتي