آسیب‌پذیری خطرناک پلاگین وردپرس کنترل سایت را در اختیار هکرها قرار می‌دهد

باگ پلاگین Database Reset وردپرس آنقدر ابتدایی است که هکر به سادگی می تواند کنترل سایت های آسیب پذیر را در دست گرفته و وبمسترها را به دردسر بیندازند.

پلاگین Database Reset به کاربران اجازه می دهد بدون نیاز به پروسه های استاندارد وردپرس پایگاه داده را به صورت کامل یا بر اساس جداول خاصی بازنشانی کنند. بر اساس آمارهای کتابخانه وردپرس این افزونه در بیش از ۸۰ هزار وب‌سایت فعال است با این حال تیم امنیتی «وردفنس» از کشف دو آسیب پذیری خطرناک در آن خبر داده که از هرکدام می توان برای در اختیار گرفتن کنترل سایت ها یا بازنشانی کامل آنها استفاده کرد.

مورد اول با شناسه CVE-2020-7048 آنقدر وخیم است که در CVSS امتیاز ۹.۱ را دریافت کرده چرا که هیچکدام از توابع ریست دیتابیس در امان نیستند و هر کاربری بدون نیاز به احراز هویت امکان بازنشانی پایگاه داده و پاک کردن تمامی تصاویر، پست ها، نظرات، کاربران، محتوای آپلود شده و غیره را در چند ثانیه دارد.

malltina

پلاگین Database Reset

آسیب پذیری دوم هم با شناسه CVE-2020-7047 امتیاز ۸.۱ را دریافت کرده و به همه کاربران تایید شده فارغ از سطح دسترسی، امکان حذف دیتابیس و کاربران دیگر را با یک درخواست ساده می دهد. Chloe Chamberland، از کارشناسان وردفنس در این باره می گوید:

هر بار که جدول wp_users ریست می شود، تمامی کاربرها از جمله مدیران حذف می شوند و تنها کاربری که لاگین است، باقی می ماند. در این حالت فردی که درخواست را ارسال کرده حتی اگر کاربر عادی باشد، به صورت خودکار به مدیر ارتقا پیدا می کند.

در نتیجه هکری که تنها با ارسال درخواست مدیر شده، کنترل سایت و تمام سیستم های مدیریتی را در دست خواهد گرفت.

ظاهرا این نقص امنیتی در آخرین نسخه پلاگین Database Reset رفع شده اما مشکل اینجاست که تنها ۵.۲ درصد آن را دریافت کرده اند. کارشناسان امنیتی به کاربران این پلاگین توصیه کرده اند برای در امان ماندن از حملات هرچه سریعتر آخرین نسخه افزونه را دریافت کنند.

مطالب مرتبط

چرا حملات باج افزاری همچنان قربانی می‌گیرند؟

باج افزارها بیش از سه دهه است که مورد استفاده قرار می‌گیرند و برخی محققان از آنها به عنوان بزرگترین کابوس امنیت آنلاین یاد می‌کنند. با این وجود هنوز هم شرکت‌های بزرگ و کوچک توسط حملات باج افزاری غافلگیر شده و در یک دو راهی سخت قرار می‌گیرند: چشم پوشی از فایل‌های رمزگذاری شده یا... ادامه مطلب

گارمین در پی حمله سایبری میلیون‌ها دلار به هکرها باج داده است

گارمین اوایل مرداد ماه حمله باج افزاری گسترده‌ای را تجربه کرد که بسیاری از سرویس‌های این شرکت را از کار انداخت. حال گزارشی منتشر شده که نشان می‌دهد این شرکت چند میلیون دلار به هکرها باج داده تا سرویس‌هایش به سرعت به حالت عادی بازگردند.خبرگزاری Sky News در گزارش جدیدی مدعی شده که گارمین با... ادامه مطلب

مغز متفکر هک توییتر قبلا به جرم سرقت صدها هزار دلار بیت‌کوین دستگیر شده بود

«گراهام ایوان کلارک»، هکر ۱۷ ساله‌ای که گفته می‌شود «مغز متفکر» هک گسترده توییتر بوده، سال گذشته میلادی به جرم سرقت بیت کوین به ارزش صدها هزار دلار دستگیر شده بوده است.بر اساس گزارش مفصلی که در نیویورک تایمز منتشر شده، هکرها سال ۲۰۱۹ گوشی «گرگ بنت» (Greg Bennet) سرمایه گذار حوزه فناوری ساکن شهر... ادامه مطلب

هکرهای Maze ده‌ها گیگابایت داده محرمانه شرکت‌های ال‌جی و زیراکس را منتشر کردند

هکرهای Maze ده‌ها گیگابایت اطلاعات محرمانه شرکت‌های ال جی و زیراکس را پس از ناکام ماندن عملیات اخاذی منتشر کردند.هکرها ادعا می‌کنند ۵۰.۲ گیگابایت داده محرمانه شرکت ال جی و ۲۵.۸ گیگابایت از داده‌های شرکت زیراکس (تولیدکننده پرینتر) را سرقت کرده‌اند.هکرهای Maze معمولاً پس از نفوذ به شبکه شرکت‌ها، اطلاعات حساس آن را سرقت و... ادامه مطلب

یکی از عاملان توزیع باج‌افزار مخرب GandCrab در بلاروس دستگیر شد

وزارت امور داخلی بلاروس با انتشار بیانیه‌ای مطبوعاتی از دستگیری مردی ۳۱ ساله به اتهام توزیع باج افزار GandCrab خبر داد. این فرد که نامش فاش نشده در شهر کوچکی به نام «گومل» در جنوب بلاروس دستگیر شده است.مقامات بلاروس می‌گویند این فرد که سابقه کیفری ندارد با ثبت نام در فروم هک قصد مشارکت... ادامه مطلب

هکرهای توییتر چطور به دام پلیس فدرال آمریکا افتادند؟

در روز ۱۵ جولای امسال بود که یکی از کاربران دیسکورد با لقب Kirk، پیشنهادی وسوسه‌برانگیز مطرح کرد: «من در توییتر کار می‌کنم. من می‌توانم [هر اکانتی با] هر نامی را به دست بگیرم. اگر در حال انجام کاری هستی به من خبر بده». این نقطه سرآغاز چیزی بود که تنها چند ساعت بعد بزرگ‌ترین... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟