کشف آسیبپذیریهای خطرناک در چهار افزونهی تجاری محبوب وردپرس
همانطور که می دانید سرویس مدیریت محتوای وردپرس فرصتی ایجاد کرد تا کاربران اینترنت بتوانند با مجهز ترین سیستم مدیریت محتوا همراه باشند و بتوانند از طریق پلاگین های فروشگاهی آن، در وب سایت خود کسب در آمد کنند. این موضوعی است که شاید به مذاق خیلی از CMS ها خوش نیاید اما هر چقدر هم که این پلاگین ها عالی باشند باز هم مواردی پیدا می شوند که مشکل زا می شوند.
گویا آی تی: ورد پرس تعداد زیادی پلاگین دارد که در زمینه تجارت الکترونیک به فروشندگان و مدیران سایت ها سرویس دهی می کند اما در تحقیقی که بر روی ۱۲ افزونهی رایج فروشگاهی وردپرس انجام گرفته مشخص شد که حداقل چهار مورد از آنها حاوی یک یا چند آسیبپذیری خطرناک هستند. بر اساس گزارشات شرکت آزمایشات امنیتی Checkmarx که این تحقیق را در نیمهی اول ماه نوامبر انجام داده، یکی از این افزونهها سه مورد آسیبپذیری داشت در حالی که بقیه هر کدام فقط یک مورد نقص امنیتی داشتند.
نقص امنیتی در پلاگین های تجاری وردپرس خطر زا تر از وجود باگ در سایر پلاگین ها هستند و باید این موضوع را سریع رفع و حل کرد. چرا که در این دست از پلاگین ها حرف از سرمایه و کسب و کار است و نمی توان مشکلات را سر سری گرفت. اما در مورد ایرادات گزارش شده خوب است به موارد زیر دقت کنید:
این ایرادات روی هم رفته به سه دسته تقسیم میشود، اول نقایص امنیتی اسکریپتهای بین سایتی، دوم تزریق SQL و یک نوع آسیبپذیری تزریق SQL ثانویه و در آخر آسیبپذیری خاصی که به دستکاری در فایلها مربوط میشود. شرکت چکمارکس در گزارش خود که روز سهشنبه آن را منتشر کرد نوشته است: «اگر از آسیبپذیریهایی که تا به حال پیدا کرده سوء استفاده شود، اطلاعات خصوصی کاربران بیش از ۱۳۵ هزار سایت در معرض خطر هکرها و مجرمان سایبری قرار میگیرد.»
چکمارکس در بیانیهی خود از وجود یا عدم وجود نسخهی پچ شدهی این افزونهها چیزی نگفته است. این شرکت اعلام کرد که جزئیات بیشتر دربارهی این آسیبپذیریها بعد از دادن فرصت کافی به سازندگان افزونههای مذکور برای اصلاح نرمافزارشان منتشر خواهد شد.