اكتشاف ثغرة أمنية في إحدى إضافات سكربت ووردبريس !

أعلن موقع (Sucuri) عن اكتشاف ثغرة أمنية من نوع (XSS) في إضافة (bbPress) الخاصة بسكربت التدوين الشهير (ووردبريس WordPress).
وهذه الإضافة يستخدمها أكثر من 300 ألف موقع إلكتروني، من أشهر هذه المواقع منتدى الدعم الفني الخاص بموقع WordPress.org
وتم اكتشاف الثغرة أول مرة في 12 نيسان/أبريل الماضي؛ وتم إبلاغ فريق (bbPress)، وإغلاق اﻹضافة حتى تم عمل تحديث أمني في 2 أيار/مايو.
وقد استهدفت الثغرة نسخة (bbPress 2.5.8) وماقبلها؛ ويُمكِّن هذا النوع من الثغرات المهاجمين من زرع رمز برمجي خبيث للوصول إلى حسابات المستخدمين والتحكم في بياناتهم.
أما عن طريقة عمل الثغرة، فلها وظيفة برمجية في الإضافة مهمتها تحويل الإشارات (mentions) إلى روابط (Hyperlinks)؛ ولكن في حال قيام أحد المستخدمين بإرسال رابط (Hyperlink) يحتوي على إشارة لأحد المستخدمين فإن الرابط النهائي سيكون معطل نظرًا لوجود أكثر من علامة اقتباس مزدوجة، وبالتالي سيتيح للمستخدم تضمين أي رمز برمجي خبيث يمكنه من الوصول إلى حساب المستخدم المستهدف.
وينصح مطورو (bbPress) المستخدمين الذين يستعملون الإضافة بالتحقق من التحديث إلى النسخة رقم (2.5.9) التي تم إطلاقها يوم أمس بعد التحديث اﻷمني

مشاركة المقال