آسیب پذیری افزونه ترجمه وردپرس بر +1 میلیون سایت تأثیر می گذارد
یک آسیب پذیری مهم در افزونه WPML WordPress کشف شد که بیش از یک میلیون نصب را تحت تأثیر قرار داد. این آسیبپذیری به مهاجم تأیید شده اجازه میدهد تا اجرای کد از راه دور را انجام دهد که به طور بالقوه منجر به تصاحب کامل سایت میشود. توسط سازمان Common Vulnerabilities and Exposures (CVE) به عنوان امتیاز 9.9 از 10 فهرست شده است.
آسیب پذیری افزونه WPML
آسیبپذیری افزونه به دلیل عدم وجود یک بررسی امنیتی به نام sanitization، فرآیندی برای فیلتر کردن دادههای ورودی کاربر برای محافظت در برابر آپلود فایلهای مخرب است. عدم پاکسازی در این ورودی، افزونه را در برابر اجرای کد از راه دور آسیب پذیر می کند.
این آسیبپذیری در یک تابع از یک کد کوتاه برای ایجاد یک تغییر زبان سفارشی وجود دارد. این تابع محتوا را از کد کوتاه به یک الگوی افزونه ارائه می کند، اما بدون پاکسازی داده ها، آن را در برابر تزریق کد آسیب پذیر می کند.
این آسیب پذیری بر تمامی نسخه های افزونه WPML WordPress تا 4.6.12 تأثیر می گذارد.
جدول زمانی آسیب پذیری
Wordfence این آسیبپذیری را در اواخر ژوئن کشف کرد و بلافاصله به ناشران WPML اطلاع داد که حدود یک ماه و نیم پاسخگو نبودند و پاسخ را در 1 اوت 2024 تأیید کردند.
کاربران نسخه پولی Wordfence هشت روز پس از کشف این آسیبپذیری محافظت دریافت کردند، کاربران رایگان Wordfence در 27 جولای محافظت دریافت کردند.
کاربران افزونه WPML که از هیچیک از نسخههای Wordfence استفاده نمیکردند، تا 20 آگوست، زمانی که ناشران بالاخره یک وصله در نسخه 4.6.13 منتشر کردند، از WPML محافظت نمیکردند.
از کاربران افزونه برای به روز رسانی خواسته شد
Wordfence از همه کاربران افزونه WPML می خواهد مطمئن شوند که از آخرین نسخه افزونه WPML 4.6.13 استفاده می کنند.
آنها نوشتند:
ما از کاربران میخواهیم در اسرع وقت سایتهای خود را با آخرین نسخه وصلهشده WPML، نسخه 4.6.13 در زمان نگارش این مقاله، بهروزرسانی کنند.»
در مورد آسیب پذیری Wordfence بیشتر بخوانید:
1,000,000 سایت وردپرس در برابر آسیب پذیری منحصر به فرد اجرای کد از راه دور در افزونه WPML وردپرس محافظت شده است
تصویر برجسته توسط Shutterstock/Luis Molinero