کشف آسیب‌پذیری خطرناک پلاگین وردپرس با امکان حذف اطلاعات سایت توسط هکرها

محققان دو آسیب‌پذیری با شدت بالا را در پلاگین PageLayer وردپرس کشف کرده‌اند که به هکرها امکان سرقت اطلاعات از وبسایت‌های بهره‌مند از این پلاگین را می‌دهد.

پلاگین مورد بحث در تولید صفحات وب شخصی‌سازی شده از طریق درگ اند دراپ برای کاربران بدون تخصص برنامه‌نویسی کاربرد دارد و در بیش از ۲۰۰ هزار وبسایت استفاده می‌شود.

به گزارش تک رادار این آسیب‌پذیری‌ها توسط شرکت امنیتی «وردفنس»‌ کشف شده و به هکرها امکان تزریق کد آلوده به وبسایت‌ها را می‌دهد و حتی امکان حذف تمامی داده‌های وبسایت‌ها وجود دارد. به گفته محققان این دو آسیب‌پذیری با اقدامات محافظت نشده AJAX و عدم محافظت در برابر جعل درخواست (CSRF) مرتبط هستند. هکرها با سوء استفاده از این آسیب‌پذیری‌ها می‌توانند حساب‌های ادمین ایجاد کنند و بازدیدکنندگان سایت‌ها را به دامنه‌های مخرب هدایت نمایند. علاوه بر این امکان حمله به کامپیوتر کاربر از طریق مرورگر وجود دارد.

یکی از آسیب‌پذیری‌ها به هر کاربر احراز هویت شده با سطح دسترسی مشترک یا بالاتر،‌ امکان آپدیت یا تغییر پست‌ها با محتوای آلوده و بسیاری اعمال مخرب دیگر را می‌دهد. هکرها با سوء استفاده از آسیب‌پذیری دیگر می‌توانند از طرف مدیر سایت،‌ اقدام به جعل درخواست برای تغییر تنظیمات پلاگین و تزریق جاوا اسکریپت مخرب کنند.

شرکت امنیتی وردفنس اولین بار در ۱۱ اردیبهشت ماه سال جاری خبر از وجود دو آسیب‌پذیری داده و PageLayer هم چند روز بعد در ۱۷ اردیبهشت وصله ای را با نسخه ۱.۱.۲ برای رفع این مشکل ارائه کرده است. با این حال با وجود گذشت ۳ هفته از ارائه پچ امنیتی،‌ تنها ۸۵ هزار وبسایت اقدام به آپدیت به آخرین نسخه کرده‌اند و می‌توان گفت که حدود ۱۲۰ هزار وبسایت همچنان در معرض خطر هستند.

به کاربران PageLayer پیشنهاد می‌شود برای در امان ماندن از خطرات ناشی از کنترل وبسایت توسط هکرها به سرعت اقدام به آپدیت به آخرین نسخه نمایند.

بلیط هواپیما

مطالب مرتبط

مدیرعامل استارتاپ ضدکلاهبرداری NS8 به اتهام کلاهبرداری دستگیر شد

مدیرعامل یک استارتاپ ضدکلاهبرداری به اتهام جعل اسناد و کلاهبرداری چند میلیون دلاری توسط پلیس فدرال آمریکا دستگیر شد.«Adam Rogas»، مدیرعامل استارتاپ NS8 حدوداً سه ماه قبل ۱۲۳ میلیون دلار از سرمایه گذاران دریافت کرد و از این قرارداد بیش از ۱۷ میلیون دلار عایدش شد. حال او با اتهام فریب سرمایه گذاران روبرو شده... ادامه مطلب

هشدار اضطراری وزارت امنیت ملی آمریکا درباره یک باگ بحرانی در ویندوز

واحد مشاوره وزارت امنیت ملی آمریکا پس از کشف یک آسیب‌پذیری امنیتی مهم در نسخه سرور ویندوز، یک هشدار اضطراری برای ادارات دولتی صادر کرد.آژانس امنیت سایبری و زیرساخت یا CISA اخیرا در یک هشدار اضطراری به تمام ادارات و آژانس‌های فدرال اعلام کرده که آسیب‌پذیری «Zerologon» موجود در سرورهای ویندوزی را تا روز دوشنبه برطرف... ادامه مطلب

حمله باج افزاری به بیمارستانی در آلمان جان یک بیمار را گرفت

یک بیمار زن در طی حمله باج افزاری به بیمارستان دانشگاه «دوسلدورف» آلمان جان خود را از دست داد که احتمالا به اولین قربانی چنین حملاتی به بیمارستان‌ها تبدیل می‌شود.در پی این حمله، بیمارستان نتواست بیماران با وضعیت اضطراری را پذیرش کند و این بیمار راهی بیمارستان دیگری با فاصله ۳۲ کیلومتر شد. طبق گزارش... ادامه مطلب

حمله هکری علیه زنجیره تامین آمریکا توسط یک شرکت آنتی ویروس چینی

وزارت دادگستری آمریکا این هفته اعلام کرد که ۷ تبعه چینی برای مدت بیش از یک دهه بالغ بر ۱۰۰ شرکت های-تک یا حوزه گیمینگ را هدف حملات هکری قرار داده اند. دولت آمریکا ادعا این کند این مردان با کمک ایمیل حملات فیشینگ یکپارچه ای را علیه اهداف خود از جمله «زنجیره تامین» انجام... ادامه مطلب

توییتر امنیت پروفایل سیاستمداران را در آستانه انتخابات آمریکا ارتقا می‌دهد

توییتر از ارتقا امنیت پروفایل نامزدهای انتخاباتی و دیگر اشخاص سیاسی «بلند پایه» در آستانه انتخابات ریاست جمهوری آمریکا خبر داد.توییتر از این پس از کاربرانی که پسورد ضعیفی برای پروفایلشان انتخاب کرده‌اند، می‌خواهد تا گذرواژه قوی‌تری انتخاب کرده و آنها را به فعال کردن احراز هویت دو مرحله‌ای تشویق می‌کند.توییتر همچنین گزینه Password Reset Protect... ادامه مطلب

سورس کد تروجان بانکی Cerberus به صورت رایگان منتشر شد

سورس کد تروجان بانکی «سربروس» (Cerberus) پس از به فروش نرفتن در حراجی به شکل رایگان در فروم‌های هک منتشر شد.«Dmitry Galov»، محقق امنیت سایبری از شرکت کسپرسکی در کنفرانس Kaspersky NEXT 2020 گفت سورس کد تروجان سربروس که تحت نام Cerberus v2 منتشر شده است، حالا به طور جدی موبایل‌ها و بانک‌ها را تهدید... ادامه مطلب

نظرات ۳

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟